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Procedlej systeme, disposstilT pour dimmuneir la clharge de (travani pemdainilt 
une sessiomi desttaee a prounver l^aiuitlheiniltidte d'iuiini<B enttite ett/oe l^oirigninie 
elt rSmltegiriie d^un messag(Bo 

La presente invention concerae les precedes, les systemes ainsi que les 
dispositifs destines a prouver Tauthenticite d'une entit6 et/ou Torigine et 
rintegrite d*un message. 

Le brevet EP 0 311 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : « brevet GQ » ou « proced6 GQ ». 
Selon le procede GQ, une entite appelee « autorit^ de confiance » attribue 
une identit6 a chaque entite appelee «temoin» et en calcule la signature 
RSA; durant un processus de personnalisation, Tautorit^ de confiance 
donne identite et signature au t^moin. Par la suite, le temoin proclame : 
« Void man identite ; j'en connais la signature RSA. » Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identity. Gr,ce k la c\6 
publique de verification RSA distribuee par Tautorit^ de confiance, une 
entite appelee « controleur » verifie sans en prendre connaissance que la 
signature RSA correspond a T identity proclamee, Les mecanismes utilisant 
le procdde GQ se d6roulent « sans transfert de connaissance ». Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Tautorite de confiance signe un grand nombre d*identites. La securite du 
procede GQ est au mieux equivalente a la connaissance de la signature RSA 
de ridentite. II y a equivalence lorsque I'exposant public de verification 
RSA est un nombre premier. 

Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits. 
Ces calculs concement des nombres ayant sensiblement la meme taille 
elev6s a des puissances de Tordre de 2*^+1. Or les infrastructures 
micro61ectroniques existantes, notamment dans le domaine des cartes 
bancaires, font usage de microprocesseurs auto-programmables 



monolithiques d^pourvus de coprocesseurs arithm^tiques. La charge de 
travail liee«r.aux^miiltiiplfs*r*op6rati^^ par des 

proeed^s^^telsvque le^proe^d^^^GQi entiPaine des-^temps^ de calcul qui dans 
certains^GasifS'averent p^nalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappel6 ici, qu'en cherchant a 
accroitre la securite des cartes de paiement, les autorit^s bancaires posent un 
probleme particulidrement d^licat a r^soudre. En effet, il faut trailer deux 
questions apparenmient contradictoires : augmenter la s6curit6 en utilisant 
des cles de plus en plus longues et distinctes pour chaque carte tout en 
6vitant que la charge de travail n'entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
oil^ ie;n-^outre9i?ibGonvient«de«tenir^ et des 

comp0sants#mi(^^^pj^6^>sew^<sx^^^^ 

LMn^entionwa pqywobjej^d'ap^g^ ce^problfeme tout en 

renfof^ant-iiilalisdi^lMd^ un 
proced^ pouPndimiiiker#la;chafeg^deitr^^ destinde h, 

prouver^k^untcontrdlgur^ 

- Tauthenticit^ d*une entite et/ou 

- Torigine et Tintegrite d*un message m. 

Precede 

Le proc6de selon Tinvention, met en oeuvre les trois entites ci-apres 
d^finies. 

!• Une premiere entite, appel^e tdmoin, dispose des facteurs premiers p^, p^, 
••• (Pr^ •••) (i ^tant supgHi2iur^©u*^6gal^a 2) d'un module public-*n tel que n = 
Pi'Pi* Pa^ ••• • Le t6m©in dispose-aussi 

* des composantes^QAi, QA^ ... (QAi , ...),. et QR^.QB«5»... (QBj^ •..), 
repr6sentant des cl6s privies QA, QB>%-. 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GAj, (GA,, ..•) et GB^, GB^, ... (GB,, ...) 



* des exposants publics de verification VX9 vy^ 000 

Les cl6s privees et les cles publiques sont liees par des relations du type : 

GAoQA" mod mi = 1 oe GA = QA^mod eh 
Les exposants publics de verification vxj vj^ sont utilises par le t^moin 
pour calculer des engagements R en effectuant des operations du type : 

R, = r " mod .p, 
ou r, est un al6a tel que 0 < r. < p, . 

Ainsi, selon le nouveau precede, les roles de temoin et d'autorite de 
confiance fusionnent. Chaque temoin utilise la factorisation p^^ p^^ 000 (p,, oo«) 
de son propre module public Uo De sorte que le nombre d*op6rations 
arithmetiques modulo p, h effectuer pour calculer chacun des R- pour 
chacun des p, est reduit par rapport a ce qu*il serait si les operations etaient 
effectuees modulo ini. L' usage de la factorisation du module n reduit 
significativement la charge de travail du temoin. Par rapport au proced^ 
GQ, et a fortiori par rapport a d'autres procedes tel que le procede RSA de 
signature, le procede selon T invention permet de substantielles economies 
de calcul, en particulier pour Tauthentification. 

IIo Le procede selon T invention met en oeuvre une deuxieme entite pilote 
dudit temoin. Cette entite pilote est appelee 

* demonstrateur dans le cas de la preuve de I'authenticite d'une entite 
ou de Tauthenticite d'un message, 

* signataire dans les cas de la preuve de I'origine et de rint6grite d'un 
message. 

On verra ci-apres quel est son role. 

III. La troisieme entite, appelee controleur, verifie I'avithentification ou 
Torigine et Tintegrite d'un message. 

Selon rinvention, le t6moin re9oit de la deuxieme entite pilote ou du 
controleur un ou plusieurs defis d tel que 0<d<vx«let calcule h partir de 
ce d€fi une ou plusieurs reponses D en effectuant des operations du type : 



D, s r, . QA, mod P| 

ou r, est iSn^aMa^d-^wgoflf^^^ p^ l 
Off^eonstatesamci^del'meme q 

arithm^tilques^moduloiip.^^^^a effectuer pour ealeuler chacune des r^ponses D, 
pour-ehaeun**des-pj est reduit par rapport k ce qu'il serait si les operations 
6taient effectu^es modulo n. 

Le controleur refoit, selon le cas, une ou plusieurs reponses D. II calcule, k 
partir desdites reponses D, les^engagements R' en effectuant des operations 
du type : 

R',-GA'.D" modn 

ou du type : 

1^ e,onta;©lSur*pj%uifa^^ 

DSSi^l^fe^f g^^cailiBi^uiw^^ ^>£-a*^plusie;urs»exposants de 

veriifiiB^jd^iisiii^Vy^^^ Oi!lv/a*maintjej^n^ cas oil 

r e*pig^sant*d^yeFi?fi^tii^my^est^^^ 

C|tstouiIik€xpQsant<detv^^ 
De meme que pr^cedenunent, le procede selon 1* invention met en oeuvre 
trois entites : 

1. Une premiere entite, appelee temoin, dispose des facteurs premiers Pj, p^, 
(Pj , «.) (i etant superieur ou egal a 2) d'un module public n tel que n = 

Pi-Pi- Pa 

Le temoin dispose aussi 

* des«GompQsantes*QAit QA^r,,- (QB;f ...), ettQBf^QBp.. (QB,, ...)• 
. . . , reprjisentantidesacies-pri v6es Q A j<QRv ^ . . 

* '^desiM»cie§i«*puteli'fue GBV^. ... ayantwrespe©ti«wement pour 
composites GA„ GA^, ... (GA,, ...) et GBj, GB^j^... (GB,, ...) 

* de Texposant public de verification v 

Dans ce cas comme dans le precedent, il est prdvu plusieurs paires de cles 
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referencees ... 

Les paires de cles privees et publiques sont liees par des relations du type : 

GAoQA' mod m = 1 our GA = QA^'mod nn 
L'exposant public unique de verification v est utilise par le temoin pour 
calculer des engagements R. A cet effet : 
^ il effectue des operations du type : 

Rj = mod P| 

ou iTj est un entier, tir6 au hasard, associe au nombre premier p,, tel que ® < 

iTj < p, , appartenant a au moins une collection d'aleas {r^j ir^^ iTj^ ooo}, 

^ puis il applique la methode dite des restes chinois, (on d^crira ci-apres la 

m^thode des restes chinois qui est connue en soi). 

II y a autant d*engagements R que de collections d'aleas [r^^ r^^ r^^ 

Bien entendu, dans ce cas conune dans le cas general precedent, le nombre 

d' operations arithmdtiques modulo h effectuer pour calculer chacun des 

R, pour chacun des p^ est r^duit par rapport k ce qu*il serait si les operations 

etaient effectuees modulo n. 

Ho La deuxieme entit6 pilote dudit temoin est appel^e : 

* demonstrateur dans le cas de la preuve de Tauthenticite d'une entity 
ou de Tauthenticite d*un message, 

* signataire dans les cas de la preuve de Torigine et de Tint^grite d*un 
message, 

nio La troisieme entit6, appelee controleur, verifie Tauthentification ou 
Torigine et Tintegrite d'un message. 

Plus particulierement, dans le cas de cette variante de realisation le temoin 
regoit de la deuxieme entite ou du controleur, des collections de defis d 
{dAg dBj ooj tels que 0 < dA < v - !• Le nombre des collections de defis d 
est egal au nombre d' engagements R. Chaque collection {dA, dBj ooo} 
comprend un nombre de d^fis 6gal au nombre de paires de cl6s. 
Le temoin calcule k partir de chacune desdites collections de d6fis {dA, dB, 



6 



...} des reponses D. A cet effet : 

• il effectue des operations du type = 

= Fj. QA, , QBjlg : ... mod p, 

• puis il applique la methode des restes chinois.^^ 

II y a autant de reponses D que d' engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithmdtiques 
modulo h effectuer pour calculer chacun des pour chacun des Pj est 
r^duit par rapport k ce qu'il serait si les operations etaient effectnees 
modulo n. 

Le controleur refoit une reponse D. II calcule a partir de cette r^ponse un 
engagement R' en effectuant des operations du type : 

R?^^ GA . GB ^T:.. mod n 

oudutype: 

Le controleur v^rifie que les triplets {R% d, D} sont coh^rents. 
Ainsi, gr,ce a la pr6sente invention, le temoin qui proclame : « Void une cli 
puhlique de ^verification (v, n) et ^une cle publique GA ; je connais la 
factorisation de n et la cle privee QA » prouve sans la reveler qu'il connait 
la cle privee QA. Le controleur verifie la cle privee QA sans en prendre 
connaissance. Les . mecanismes se deroulent « sans transfert de 
connaissance ». On le verra ci-apres, que le procede selon Tinvention 
autorise certaines paires de cles telles que la connaissance de la cl6 privee 
QA est equivalente k la connaissance de la factorisation du module n. 
On va maintenant exposer les variarites de Tealisation'^-de r invention 
concemant : 

- le cas d'une authentification d'entitd^ 

- le cas d'une authentification de message, 

- le cas d'une signature numdrique de message. 

Cas d'une authentification d'entite 
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Cas OB Fexposaimt de veirilScattioim v est TUHtniqiuiieo 
Dans le cas de cette variante de realisation particuli^re, la session est 
destinee k prouver k un controleur Tauthenticite d'une entit6. 
Comme dans le cas general, la session met en oeuvre trois entit6s. 
L Une premiere entite, appelee temoin, dispose des facteurs premiers p^, 
o.o (pj 9 ooo) (i etant superieur ou 6gal k 2) d'un module public m tel que m = 

Le temoin dispose aussi : 

* des composantes QA^j QA^^ (QA,, 000), et QB^, QB^^ 000 (QB,^ 000), 
representant des cl6s privies QA, QB, 

* des cl6s publiques GA9 GB, ... ayant respectivement pour 
composantes GA^, GA^, oo, (GA,^ oo,) et GB,9 GIB^, o« (GB,5 000) 

* de Texposant public de verification v 

Les paires de cl6s priv6es et publiques sont li6es par des relations du type : 
GAoQA' m©(dl nn s 1 oim GA s QA^'mod un . 

II. La deuxi^me entity, pilote dudit temoin, est appel6e demonstrateur. 

III. La troisieme entite, appelee controleur, v^rifie Tauthentification. 

Pour prouver T authenticity d'une entity, le temoin, le demonstrateur et le 
controleur executent les 6tapes suivantes : 

o etape 1* emgagemeett R dn temoiim t 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers [r^^ r^^ r^^ 00.}, telle que, pour chaque facteur premier p,, 
chaque collection comporte un alea r,positif et plus petit que p, , 
Pour chaque facteur premier p. , le temoin eieve chaque alea r, a la puissance 
V ieme modulo Pj 

s r,' mod p, 

On notera que le nombre d' operations arithm6tiques modulo Pj k effectuer 
pour calculer chacun des pour chacun des est r^duit par rapport k ce 
qu'il serait si les operations etaient effectu^es modulo n. 
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Puis, le t^moin etablit chaque engagement R modulo n selon la methode des 
testes chinoist - 

II y a autant d'engagements R que de eoUections-d'aleas^ri^-Eij'rj, ...}, 

• etape 2. defi d destine au temoin : 

Le d^monstrateur transmet tout ou partie de chaque engagement R au 
controleur. 

Le controleur, apres avoir re^u tout ou partie de chaque engagement R, 
produit au moins une collection de defis d {dA, dB, ••.} tels que 0 < dA < v 
- 1. Le nombre des collections de ddfis d est 6gal au nombre d' engagements 
R. Chaque collection {dA, dB, ...} comprend un nombre de defis 6gal au 
nombre de paires de cl6s. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule des reponses D k partir des collections.de d^fis d {dA, 
dB, ...} re9ues du controleur^ A cet effet : 
il effectue des operations du type : 

Dj = r, . QA, . QB, . ... mod p, 
puis, il applique la mettfgde^des restes chinois. 

Le nombre d' operations arithmetiques modulo Pj a effectuer pour calculer 
chacun des Dj pour chacun des Pj est r6duit par rapport k ce qu'il serait si 
les operations etaient effectu^es modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au controleur : 

Le demonstrateur transmet au controleur chaque reponse D. 

• etape 5. verification par le controleur : ^ 

Le controleur calcule A partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R's GA GB '\ ...D' mod n 

ou du type : 



M\ GA GB ""o .oos mod n 
Le contrdleur verifie que chaque engagement reconstmit lR^^eproduit tout 
ou partie de chaque engagement R transmis k Tetape 2 par le 
demonstrateur. 

Cats d^minie aellhieinittnfficattiM message 
cas ou Fexposaimlt de veoficattncDum v estt Minmqiui®o 
Dans le cas de cette variante de realisation particulifere, la session est 
destin6e a prouver k un controreur Tauthenticite d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entit6s. 
lo Une premiere entit6, appelee temoin, dispose des facteurs premiers p^, p^,, 
ooo (p, J ooo) (i etant sup6rieur ou egal a 2) d'un module public m tel que nn = 

Le temoin dispose aussi : 
^- * -des -composantes QA^, QA,,-,oo (QA, , c,o), et QIB^, QB^, .00 (QB. , 
representant des cles privees QA, QB, ... 

des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA^, (GA,, 000) et GB^, GB^, 000 (GB,^ 000) 

* de I'exposant public de verification v 
Les paires de cles privies et publiques sont liees par des relations du type : 

GAoQA* mod im s 1 ou GA = QA^'mod nn 
IIo Une deuxieme entite, pilote du temoin, est appelee demonstrateur. 
IHo Une troisieme entite, appelee contrdleur, verifie T authenticity d'un 
message. 

Pour prouver Tauthenticite d*un message le temoin, le demonstratexir et le 
controleur executent les etapes suivantes : 

I eltape 1* eimgagemeinitt M dm ttemonim i 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r,, r^, r^^ •••}, telle que pour chaque facteur premier p,, 
chaque collection comperte un alea Tjpositif et plus petit que p^ . 
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Pour chaque facteur premier p. , le temoin eleve chaque alea r, k la puissance 
V ieme modufo-pj 

(de^sorte que le nombre operations arithmetiques modulo p^d effectuer 
pour calculer chacun des pour chacun des est reduit par rapport a ce 
qu'il serait si les operations etaient ejfectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la m6thode des 
restes chinois. 

II y a autant d'engagements R que de collections d'al^as {r^, r^, Fj, ..•}, 

• etape 2. defi d destine au temoin : 

Le demonstrateur applique una fonction de hachage f ayant conune 
argumentsrle message m et chaque engagement R pour obtenir un jeton T. 
Le demonstrateur transmet le jeton^T au controleiur, 

Le controleur, apres avoir re9u le jeton T, produit au moins une collection 
de defis d {dA, dB, .••} tels que OM dA < v - 1. Le nombre des collections 
de defis d est 6gal au nombre d'engagements R. Chaque collection {dA, 
dB;!,.} comprend^un nombre de ddfis egal au nombre de paires de cles. 

• etape 3. reponse du temoin au defi d : 

Le temoin calcule les reponses D a partir des collections de defis d {dA, 
dB, ...} regues du controleur. A cet effet, 
il effectue des operations du type : 

Dj = . QA, . QBj . ... mod p^ 
puis, il applique la methode des restes chinois, 

Le nombre*^d'operati0ns arithm6tiques>^modulo Pj k effectuer^pour calculer 
chacun des Dj pour chacun des Pj est reduit par rapport k ce^qu'il serait si 
les operations Etaient effectu6es modulo^n. 

II y a autant de reponses D calcuiees par le temoin que d' engagements R et 
de defis d, 

• etape 4. donnees destinees au controleur : 




Le demonstrateur transmet au contrSleur chaque reponse D. 

o etope So veiilScaltioiiii pair le coiniltrSleiiiir i 
Le controleur calcule k partir de chaque reponse D un engagement en 
effectuant des operations du type : 

M'- GA '^''o GB ''"o «oB^ mod im 

ou du type : 

R^ GA GB 000= If mod sn 
Le controleur applique la fonction de hachage IF ayant conune arguments le 
message m et chaque engagement reconstruit pour reconstruire le jeton 

T^ 

Le controleur verifie que le jeton est identique au jeton T transmis a 
I'etape 2 par le demonstrateur. 

Cas d'uBlnte sigeatore Bemernqiuii© de message 
— — Cas-OM-Pexposainit de verfficattfiom-v-estt-Tunnrnquneo 
Dans le cas de cette variante de r^aUsation particuliere, la session est 
destinee a prouver k un controleur la signature numerique d'un message mo 
Comme dans le cas general, la session met en oeuvre trois entites. 
I. Une premiere entite appelee temoin dispose des facteurs premiers p^^ p^, 
..o (p, 5 o«) (i etant superieur ou egal k 2) d'un module public e tel que nn = 

Le temoin dispose aussi 

* des composantes QA^, QA^, 0.0 (QA.5 -o,), et QB,^ QB^, o.. (QB^, .00), 
representant des cles privees QA, QB, 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj<, GA25_.<.. (GA^, oo,) et GB^., GB^, o.. (GBj, 000) 

* de Texposant public de verification Vo 

Les paires de cl6s privees et publiques sont li^es par des relations du type : 

GA.QA"" mod m = 1 ou GA = QA^'mod mi 
IL Une deuxieme entite, pilote dudit t6moin, est appelee signataire. 
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III. Une troisieme entite, appel6e controleur, v^rifie la signature du message 
m. 

Pour prouver la signature d'un message le temoin, le demonstrateur et le 
controleur ex6cutent les Stapes suivantes : 

• etape !• engagement R du temoin : 

A chaque appel, le temoin tire au hasard et en priv6 au moins une collection 
de nombres entiers {r^, r^, Tj, ...},telle que, pour chaque facteur premier Pj, 
chaque collection comporte un al6a r,positif et plus petit que p^ . 
Pour chaque facteur premier pj, le temoin eleve chaque alea r, a la puissance 
V ifeme modulo p. 

R, = r ' mod p, 

(de- sorte quey^le nombre-d*operati©m^arithmitiques^^m a effectuer 

pour calauler chaeun destR^poumehmun des p^ est reduit par rapport a ce 
quM senait si lesxopiratiom^etawrit^ejf^Gtuies^moduloM^ 
Puis, le temoin^^tablit^chaque engagement R liiodulo n selon la methode des 
restes chinois. 

II y a autant^d'engagements R que^de eoUeetions d'al6as {r^, r^, Fj, •..}. 

• etape 2. defi d destine au temoin : 

Le signataire applique une fonction de hachage f ayant conune arguments le 
message m et chaque engagement R pour obtenir au moins une collection 
de defis d {dA, dB, •..} tels que 0 < dA < v - 1. Le nombre des collections 
de d6fis d est 6gal au nombre d' engagements R, chaque collection {dA, dB, 
.«} comprend un nombre de defis 6gal au nombre de paires de cl6s. 
Le signataire transmet les coUections-^de d^fis d au temoin. 

• ^tape 3. reponse du temoin au d^fi d : 

Le temoin calcule des reponses D k partir desdites collections de d6fis d 
{dA, dB, •..} refues du controleur. A cet effet, 
il effectue des operations du type : 

D, = r, . QA, ^ . QB, . ... mod p, 




(de sorte que le nombre d' operations arithmetiques modulo a ejfectuer 
pour cdlculer chacun des pour chacun des est reduit par rapport h ce 
qu HI serait si les operations etaient effectuees modulo n) 
puis, il applique la methode des restes chinois. 

II y a autant de reponses B calculees par le temoin que d' engagements M et 
de defis d. 

Le temoin transmet les reponses D au signataire et/ou au controleur. 

o etope 4o domees desttiimees aiui coiattroIleTuir i 
Le signataire transmet un message signe au controleur comprenant : 

- le message 

- les collections de defis d ou les engagements 

- chaque reponse D 

o ©tape S* veriUcalSoini par Ee coimttrdleiiiiir i 
-Cas~OMi le coimtroIeiiinMre^oilt M coMectioe des delFis 

Dans le cas ou le controleur re9oit la collection des defis d et des reponses 
Bj ledit contr61eur calcule a partir de chaque reponse D un engagement 
en effectuant des operations du type : 

R's GA GE """o oooB' mod n 

ou du type : 

WMK^^. GB „.= B' mod m 
Le controleur applique la fonction de hachage 1 ay ant conmie arguments le 
message m et chaque engagement reconstruit W pour reconstniire chaque 
defi d\ 

Le controleur verifie que chaque defi d' reconstruit est identique au defi d 

figurant dans le message signe. ^ 

Cas ois fie eontroleor revolt la coOectiora des eBgagemeimtts M 

Dans le cas ou le controleur re9oit la collection des engagements M et des 

reponses B, ledit controleur applique la fonction de hachage f ayant conune 

arguments le message m et chaque engagement R pour reconstniire chaque 
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den d\ 

Le> conteoleur^, reconstniit * al^ R' en 

effgctuanbdes op^Fation*du type 

R' = GA GB^". •..D^iiiodrtwsif 

ou du type : 

R'. GA '\ GB '\ ...^ mod n 

Le controleur verifie que chaque engagement reconstruit est identique a 
Tengagement R figurant dans^le message sign6, 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la cl€ privee Q 

La paire de cl6s GA, QA, n'a plus de raison d'etre systematiquement 
deduiteideilfMeMiti§>.dufctemoint«CQif^ 

SdonMunewariante^deji^ealisati^^^^ utilisent le 

-meme!^:ensembXeMde«cl^^^^ GD ... par 

exempk^,^935:^t'49* 

D^hs^le cas deiiila^Yariantevde^reafe^ ex^po^s^eiles composantes 

QAj^ QAf* ... (Q%1f ..Oi^et QBi!iQ]E^ des«cles^privees QA, 

QB, ... sent des nombres tires au hasard a raison d*une composante QA, , 
QB, , pour chacun desdits facteurs premiers p,. Lesdites cles privees QA, 
QB, peuvent etre calcul^es a partir desdites composantes QAj, QA^, (QA. 
, ...), et QBj, QBj, ... (QB,, ...), ... par la methode des restes chinois. 
Les cles publiques GA, GB, ... sont calcul^es en effectuant des operations 
du type : 

GA, = -Q Ai^mcid**^ 
puis en appliquant4a methode des restes chinois* pour-^^tablir.G A tel que 

G A^ s Q A'^modtn^ 

ou bien jtel que 

GA.QA' mod n = 1 

Ainsi, le nombre d' operations arithm6tiques modulo p^ k effectuer pour 
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calculer chacun des GA. pour chacun des est reduit par rapport k ce qu*il 
serait si les operations etaient effectu6es modulo m. 

De preference Texposant public de verification v est un nombre premier. 
Dans ce cas la paire de cles GA, QA confere une security equivalente k la 
connaissance de la cle priv6e QA. 

Paire die cles selom la preseMe imveEttioim coiniiferaMft iinee secnjiirilte 
eqiuiavaleimte a la ccoBiniaissainice de la ffactorisatioiDi de u 
De preference, Texposant public de verification v est du type 

v = a'' 

ou Ik est un paramfetre de securite. 

De preference, egalement Texposant public de verification v est du type 

v = 2'' 

oil k est un param^tre de securite. 

Dans ce cas, la cie publique GA est un earre gA^ inferieur k m choisi de telle 
sorte que I'equation 

= g A mod u 

n'ait pas de racine en x dans Tanneau des entiers modulo n. 

Les composantes QA^^ QA^^ o.o (QA^ 5 000) de la cle privee QA sont alors 

telles que : 

GA= Q A, mod pj 

ou bien telles que : 

GA oQA, "-""^^^mod p.= 1 
On les obtient en extrayant la ki^me racine carree de GA dans le corps de 
Galois CG(Pj)9 

Ainsi, le nombre d'operations arithmetiques modulo Pj k effectuer pour 
calculer chacun des QA^ pour chacun des p^ est reduit par rapport a ce qu'il 
serait si les operations etaient effectuees modulo e. 

On demontre que la paire de cies GA, QA confere une securite equivalente 
k la connaissance de la factorisation de n. 
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De preference, pour extraire la kieme racine carree de GA dans le corps de 
Galois CG(p,), on utilise les m6thodes suivantes : 

- dans le cas oil le facteur premier p, est congru k 3 modulo 4, on 
applique notamment un algorithme du type : 

X = (p+l)/4 ; y = x' mod (p-1) ; z = y ; QA. = OA' mod p. 

- dans le cas ou le facteur premier p, est congru a 1 modulo 4, on 
emploie les suites de Lucas. 

Systeme 

La presente invention conceme egalement un systeme permettant de mettre 
en oeuvre le proc6d6 ci-dessus expose. 

Le systeme selon Tinvention permet de diminuer la charge de travail 
pendant une session destinee k prouver k un serveur controleur, 

- rauthenticit6 d'une entite et/ou 

- Torigine et Tintegrite d'un message m. 
Le systeme met en oeuvre trois entites : 

L Une premiere entite, appel6e dispositif temoin, contenue notanunent 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p^, p^, ... (p^ , ...) (i etant superieur ou egal k 2) d'un 
module public n tel que n = Pj.Pj. P3 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA,, QA„ ... (QA,, ...), et QB„ QB^, ... (QB,, ...), 
representant des cl6s priv6es QA, QB, ... 

* des cl€s publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA^, ... (GA,, ...) et GB,, GB,, ... (GB,, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cl6s privies et elds publiques 6tant li6es par des relations du type : 
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GAoQA"^ mod im = 1 GA = QA^mod m 
Le dispositif t^moin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R, = mod p^ 
on r^ est un alea tel que 0 < ir^ < Pj, 

II. Le systeme met en oeuvre une deuxieme entite, appel^e dispositif pilote 
dudit dispositif temoin. EUe pent etre contenue notamment dans ledit objet 
nomade. Le dispositif pilote est plus pr6cisement appel6 : 

* dispositif ddmonstrateur dans le cas de la preuve de T authenticity 
d'une entity ou de Tauthenticite d*un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
r integrity d'un message, 

III. Le systeme met en oeuvre une troisieme entity, appelee dispositif 
—Gontroleur, se prysentant notamment sous la forme d'un terminal et/ou d'un 

serveur distant connecty k un ryseau de communication informatique. Le 
dispositif controleur comporte des moyens de connexion pour le connecter 
yiectriquement, yiectromagnytiquement, optiquement ou de maniere 
acoustique au dispositif tymoin. Le dispositif contrSleur vyrifie 
Tauthentification ou Torigine et Tintygrity d'un message. 
Le dispositif temoin regoit du dispositif pilote ou du dispositif controlexir un 
ou plusieurs defis d tel que (D><d<vs»l. II comporte des deuxiemes 
moyens de calcul pour calculer k partir des defis d une ou plusieurs 
reponses B en effectuant des operations du type : 

ID), = r, o QA, mod p, 
ou r, est un alea tel que 0 < r, < p^ 

(de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations itaient e^ctuies modulo n) 
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Le dispositif controleur, regoit une ou plusieurs rdponses D. II comporte des 
troisiemes inoyens de calcul pour ealculer k partir desdites^jr^ponses D des 
engagements R^*en-effectuant des operations du type : 

R\= GA D" mod n 

ou du type : 

RVGA^'^D" modn 
Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont cohdrents. 

Cas ou Fexposant de verification v est unique 
De meme que prec6demment, le systeme selon 1' invention met en oeuvre 
trois entit^s. 

I. Une prerniere entity, appelee dispositif temoin, contenue notamment dans 
un objet-*nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprpcesseur. 

Le dispositif terhoin dispose d'une premiere zone mdmoire contenant des 
facteurs premiers p^, p^, (p, , ...) (i etant superieur ou -egal a 2) d'un 
module public n tel que n = Pj,pj.^p3e... , 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA^, QA^, ... (QA,, ...), et QB^, QB^, ... (QB^, ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^ GA^, ... (GA„ ...) et GB^, GB^, ... (GB,, ...), 

* un exposant public de verification v. 

Les paires de cl^s priv6es et publiques sont liees par des i:elations du type : 

GA.QA' mod n s 1 ou G A = QA^^mod^n ^ 
Le dispositif t6moin comporte aussi des premiers moyens de calcul pour 
ealculer des engagements R. A cet effet, 
• il effectue des operations du type : 
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Rj = mod p, 

ou r, est un entier, tire au hasard, associe au nombre premier Pp tel que ® < 

< Pi » appartenant h au moins une collection d'al6as {r^, ooo}, 
o puis, il applique la methode des restes chinois. 
II y a autant d' engagements R que de collections d'aleas {r^^ r^^ r^^ „o}, 
Le nombre d* operations arithmetiques modulo p^ a effectuer par lesdits 
premiers moyens de calcul pour calculer chacun des Rj pour chacun des Pj 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n. 

IIo La deuxieme entity, appelee dispositif pilote dudit dispositif t^moin, pent 
etre contenue notamment dans ledit objet nomade. Le dispositif pilote est 
appeie : 

* dispositif demonstrates dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticit^ d-un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrite d'un message, 

in. La troisieme entity, appelee dispositif controlexir, se presente 
notanunent sous la forme d*un terminal et/ou d'un serveur distant connect^ 
h un reseau de conmiunication informatique. Le dispositif controleur 
comporte des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique audit 
dispositif temoin. Le dispositif controleur verifie Tauthentification ou 
Torigine et I'integrite d'un message. 

Plus particulierement, dans le cas de cette variante de realisation, le 
dispositif temoin re9oit du dispositif pilote ou du dispositif controleur, des 
collections de d6fis d {dA, dB, o«o} tels que 0 < dA < v - 1. Le nombre des 
collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ..o} comprend un nombre de defis egal au nombre de 
paires de cl6s. 
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Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, „.} des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D. = r,. QA, • QB, . ... modiP| 

• puis, il applique la methode des restes chinois. 

II y a autant de reponses D que d' engagements R et de d6fis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithmetiques 
modulo Pj k effectuer par lesdits deuxiemes moyens de calcul pour calculer 
chacun des D. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

Le dispositif controleur re^oit une ou plusieurs reponses-D. II comporte des 
troisidmes moyens de calcul pour calculer a partir desdites reponses D un 
engagement R' en effectuant des operations du type : 

R' = GA . GB " . ... mod n 

ou du type : 

R' . GA GB mod n 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, D} sont coherents. 

On va maintenant exposer les variantes de realisation du systeme selon 
rinvention conceraant : 

- le cas d'une authentification d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique'^de message. 

Cas d'une authentification d'entite 
Cas ou Fexposant de verification v est uniquer 
Dans le cas de cette variante de realisation particulidre, la session est 
destinee a prouver k un controleur Tauthenticite d'une entite. 
Comme dans le cas general, le session met en oeuvre trois entites du 
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systeme selon T invention. 

lo Une premiere entity, appel6e dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone m^moire contenant des 
facteurs premiers p^j p^^ o-. (p, , ,00) (i etant superieur ou egal k 2) d'un 

module public e tel que n = Pj-p^o Le dispositif temoin dispose aussi 

d'une deuxieme zone memoire contenant : 

* des composantes QA^^ QA^, oo, (QA, , o-O, et QB^, QM^^ (QB^ ^ 0,0), 
representant des cles priv6es QAj QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^^ GA^, 00. (GA,, 000) et GB^^ GB^, (GB,, ooO 

* un exposant public de verification Vo 

-Les paires de cles privies et publiques sont lides par des relations du type : 

GAoQA' mod nn = 1 oud GA = QA^'mod n 
IIo La deuxieme entity, appelee dispositif d6monstrateur dudit dispositif 
temoin, peut etre contenue notamment dans ledit objet nomade. 
Ill* Une troisieme entit6, appelee dispositif controleur, se pr6sente sous la 
forme d'un terminal et/ou d'un serveur distant connect^ a un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin. 
Pour prouver T authenticity d'une entity, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

° etape !• ejagagemesit R dn disposMf ttemom s 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, h chaque appel, au moins une collection de nombres 
entiers {Tjj r^, r^^ o«}, telle que, pour chaque facteur premier p,, chaque 
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collection comporte un alea r,positif et plus petit que Pj . 

Le disposltafv t6moin*compaiae«.4es^deux^^^^ pour Clever 

chaqu^*al6atif,v& laipuissanee^v ieme modulo p,cv.;pour«chaque^facteu^ premier 

Rj^s r, -mod p, 

On notera que le nombre d'op^rations arithmetiques modulo p^ k effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des pour 
chacun des Pj est r^duit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif t6moin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II jir a autaiit^d'fii^gpent^^ r,, ...}, 

Ler^igpesiitiftll^eM© pour 
transmfjtrenouttouipajf^ 

Le disp©siitdf^&onto§lfik«com calcul pour 

caleuler«ap#slav©ir#re§utt©ut«a)u»p^ au moins 

une collection de defis d {dA, dB, .„} tels que 0 < dA < v « 1. Le hombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, •..} comprend un nombre de d6fis egal au nombre de 
paires de cles. 

• etape 3. reponse du dispositif temoin au defi d : 
Le dispositif temoin comporte des quatrifemes moyens de calcul pour 
cal©uleF*des*rep0nses'»D, a paMir desdit^s^eolleetioli^s^^^ f dA^dB, ...} 

refues du-dispositif controleur. A cet effet; 
il effeGtue^des^op^rations du typeset- 

D, = . QA. ?QBjif : mod p^ 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmdtiques modulo p, h effectuer par les 
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quatriemes moyens de calcul pour calculer chacun des pour chacun des 
Pj est reduit par rapport ^ ce qu'il serait si les operations etaient effectuees 
modulo iDi. 

II y a autant de reponses D calculees par le temoin que d'engagements M et 
de d6fis d. 

o ©tape 4. doBMiees destSmees sm dnsposSttiff comttrSleer s 
Le demonstrateur comporte des moyens de transmission pour transmettre au 
dispositif controleur chaque reponse D. 

o (Btape So verMcatti<D)im par De dasposaM coimtroBeiuir t 
Le dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement en effectuant des 
operations du type : 

ou du type : 

M^ GA GB """o .00= mod nn 
Le dispositif controleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit reproduit tout 
ou partie de chaque engagement R transmis a T^tape 2 par le dispositif 
demonstrateur. 

Cas d'uBinie amtlhieiniftilScattSoini de message 
Cas ou Fexposant de verMcattioiai v est umniiqineo 
Dans le cas de cette variante de realisation particuliere, la session est 
destin6e a prouver a un controleur Tauthenticit^ d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entit6s du 
systeme. ^ 
lo Une premiere entite, appel6e dispositif temoin, contenue notaimnent dans 
un objet nomade se presente par exemple sous la forme d'une carte bancaire 
a microprocesseur. 

Le dispositif t6moin dispose d*une premiere zone m^moire contenant des 
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facteurs premiers p„ p,, ... (p, , ...) (i ^tant sup6rieur ou ^gal k 2) d'un ' 
module public' ii tel que^n = p,.pj«B3.^. ,..Le dispasitif tdm^n-dispose aussi 
d'unei!deiixieine>'Zoneim^ni@iiie con!tenant«»;.. 

* des^composantes-Q4t„ QA^,,. (QA-s ...), et QB|5*..QSfJf:... (QB„ ...), 
repF&entant des elds*pri<v6es-QATQB*%.. 

* des cI6s publiques GA, GB, „. ayant respectivement pour 
composantes GA„ GA,, ... (GA„ ...) at GB„ GB„ ... (GB„ ...) 

* un exposant public de verification v. 

Les paires de cMs privees et publiques sont li^es par des relations du type : 

GA.QA' mod n s 1 ou GA = QA'mod n 
II. Une deuxieme entity, appel6e dispositif d^monstrateur dudit dispositif 
tem©in?ipept*§tfe«eontenue*not'aiiimientidans«ledit^^^ 

m?syre«tr0isi^i&etentdttepEal«^^^diS^^^ sous la 

foraneiMJ'iinateraninal et/ou d'un<«sesKeur<wdiStant«©onneet€3»k un reseau de 
comHiunieati0n4nformatijqu^*I^>dir^^^^ comporte des moyens 

de ■conme»i©n'«apour*leiteonneeter dleletriqu^ment^^^^^ 
optiquement«©u»delmanierejra.G©ustiqmaudit^^^^^ 

Pour prouver I'authenticite d'un message ledit dispositif t6moin, ledit 
dispositif demonstrateur et ledit dispositif contrdleur executent les Stapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif t6moin comporte des premiers moyens de calcul pour tirer au 

hasard et en prive, a chaque appel, au moins une collection de nombres 

entiers-*{r,, r,, .Xj, mJ,- tellei«^ui©«polif*eha"que'^faoteurtfipreinier<«p,,. chaque 

collection, comporte un ayar,positifret plus pet!iit«que«.p{««fc 

Le dispositd'Sitdmoin comporte des deuxiemes 'm0y.ens«deiieal^ulM.pour Clever 

chaque al6a r, a la puissance v ieme modulp,p, , pour^Ghaque.facteur premier 

P.. 

R, = r,' mod p, 
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Le nombre d'operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des Rj pour chacun des 
Pj est reduit par rapport a ce qu*il serait si les operations etaient effectu6es 
modulo na. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo im selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d'al6as {ir^j r^j .00}. 

o etape 2, delffi d desttfiee aim dispositif temoiim i 
Le dispositif d^monstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage ff ay ant conmie 
arguments le message m et chaque engagement R. 

Le dispositif demonstrateur comporte des moyens de transmission poxxr 
transmettre le jeton T au dispositif contr61eur. 

Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re^u le jeton au moins une collection de defis d {dA, 
dBj •••} tels que 0 < dA < v - 1. Le nombre des collections de d6fis d est 
6gal au nombre d' engagements R. Chaque collection {dA, dlB^ 
comprend un nombre de defis egal au nombre de paires de cles. 

*=> ettape 3* repoHnse diui disposiftilf ttemoiim w delFn d t 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses B9 a partir desdites collections de defis d {dAj dB, •..} 
regues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

B, = o QA, . QB, o mod p, 
puis, il appliquant la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo p, effectuer par les 
quatriemes moyens de calcul pour calculer chacun des Dj pour chacun des 
Pj est reduit par rapport k ce qu'il serait si les operations Etaient effectu^es 
modulo un. 
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II y a autant de r^ponses D calcul^es par le temoin que d' engagements R et 
de defis A. - 

• etape 4, donnees destinees au dispositif^controleur.: 

Le ddmonstrateur comporte des moyens^de-transmission pour transmettre au 
dispGsitif controleur chaque reponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des cinquiemes moyens de calcul pour 
calculer a partir de chaque r6ponse D un engagement R' en effectuant des 
operations du type : 

R'= GA GB ...D" mod n 

ou du type : 

R'. GA GB '^r„.= mod n 
Le dispositif controleur comporte--des sixieiiies moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ay ant comme arguments le 
message m et chaque engagement R% le jeton T\ 

Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton est identique au jeton T transmis h, 
r6tape 2 par le dispositif demonstrateur. 

Cas d'une signature numerique de message 
Cas ou I'exposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee k prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, la session met en oeuvre trois entit^s du 
syst^me : 

I. Une premiere entite, appelee dispositif temoin, contenues notanunent 
dans un objet nomade se presente par exemple sous la forme-d'une carte 
bancaire k microprocesseur. 

Le dispositif temoin comporte une premiere zone m6moire contenant des 
facteurs premiers p^, p^, ... (Pj , ...) (i 6tant superieur ou egal k 2) d'un 
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module public m tel que im = Pj-Pjo o« . 

Le dispositif temoin comporte 6galement une deuxieme zone memoire 
contenant : 

* des composantes QA^^ QA^^ o«o (QA,j ooo), et QB^^ QB^j ooo (QB55 000), 
repr^sentant des cles privees QA^ QB, ... 

* des cles publiques GA9 GB, ayant respectivement pour 
composantes GA^^ GAj, oo« (GA,, 000) et GBj, GB^j 000 (GB,, 000) 

* un exposant publique de verification Vo 

Les paires de cles privees et publiques sont li^es par des relations du type : 

GA.QA' mod un = 1 ou GA = QA'mod im 
Ho Une deuxieme entity, pouvant etre contenue notamment dans ledit objet 
nomade, est appelee dispositif de signature. 

IIIo Une troisieme entit6, appel6e dispositif contr61eur se pr6sente sous la 
forme d'un terminal et/ou d*un serveur distant connect^ h un r^seau de 
conununication informatique, Le dispositif controleur comporte des moyens 
de connexion pour le connecter ^lectriquement, 61ectromagn6tiquement, 
optiquement ou de maniere acoustique au dispositif temoin. 
Pour prouver la signature d'un message, ledit dispositif t6moin, ledit 
dispositif d^monstrateur et ledit dispositif controleur executent les 6tapes 
suivantes : 

° ettape lo enngagemeinilt R dn timom t 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r^j r^, -oo}, telle que pour chaque facteur premier Pj, chaque 
collection comporte un al6a r^positif et plus petit que p. , 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea k la puissance v ieme modulo p, , pour chaque facteur premier 

R, = r ' mod p, 
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Ainsi, le nombre d' operations arithmetiques modulo h effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des p, 
est reduit par rapport a ce qu'il serait si les op6rations 6taient effectu^es 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'al^as {r^, r^, Fj, .•.}, 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant conmie arguments 
le message m et chaque engagement R, au moins une collection de d6fis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de defis d 
est 6gal au nombre d'engagements R. Chaque collection {dA, dB, „.} 
comprend un nombre de defis 6gal au nombre de paires de cl6s. 
Le dispositif de signature transmet les collections de d^fis d au dispositif 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, «•} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D( = . QA, . QBj . ... mod Pj 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p^ a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des Dj pour chacun des 
Pj est r6duit par rapport k ce qu'il serait si les operations dtaient effectu^es 
modulo n. 

II y a autant de reponses D calculees par le temoin que d'engagements R et 
de d6fis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature et/ou au dispositif controleur. 

o ©tap© 4o domnees desttmees.auii dSsposnltiff connttiroleeir t 
Le dispositif de signature transmet au dispositif contrSleur un message 
sign6 comprenant : 

- le message 

- les collections de d6fis d ou les engagements 

- chaque reponse B 

o ettape S. veriBcaitmn par le disposMaff coMttroleiuir t 
Cas om k dnsposntnff coMttroleMr re^oM la coMecMcum des delfis d, 
Dans le cas ou le dispositif controleur re^oit les collections des defis d et 
des r6ponses ledit dispositif controleur comporte des cinquiemes moyens 
de calcul pour calculer a partir de chaque reponse B un engagement en 
effectuant des operations du type : 

R'= GA '""o GB oocB' m©d m 

ou du type : 

R\ GA ^""o GIB mod n 

Le dispositif controleur comporte des sixi&mes moyens de calcul pour 
calculer chaque defi d% en appliquant la fonction de hachage ff ayant comme 
arguments le message m et chaque engagement reconstruit W. 
Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au d6fi d figurant dans 
le message signe. 

Cas ouii le dlsposStiff comttroleiuir re?oitt la coMecttioim des emgagemeimtts R 
Dans le cas oii le dispositif controleur regoit la collection des engagements 
R et des reponses B, ledit dispositif controleur comporte des cinquiSmes 
moyens de calcul pour calculer chaque defi d% en appliquant la fonction de 
hachage IF ayant comme arguments le message m et chaque engagement R. 
Le dispositif controleur comporte des sixiemes moyens de calcul pour 
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calculer alors la collection des engagements R' en effectuant des operation 
du type 

R'fe GA .GB^ . ... D' mod^n 

ou^duttype'S 

: GA ^^:GBf^: ...= mo^ n 
Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement R' reconstruit est identique a 
r engagement R figurant dans le message signd. 

Paire de cles conferant une securite equivalente a la connaissance de la 

cle privee Q 

Dans le cas de la variante de realisation ci-apr&s exposee les composantes 
QA^ QA^,,. (QAf^ ...), et QBj^^QB;^^ ... (QB,f ...), ... des^^cl^s. privies QA, 
QB; sont des nombres tir^s au hSsard ^ raison d'une^composante QAj, 
-QBi> pour chacun desdits facteurs premiers p,-lesdites cles privees QA, 
QB, pouvant etre calculdes a partir desdites- composantes QA|, QA^, ... (QAj 
, ...), et QBj, QBij (QBp ...), ... par la m6thode des restes chinois. 
Dans le cas de^cette variante, le dispositif temoin comporte- des huitiemes 
moyens de calcul pour calculer lesdites cles publiques GA, GB, ...» 

• en effectuant des operations du type : 

GA,= QA;modp, 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA'modn 

ou bien tel que 

GA.QA'modn= 1 

Le nombre d'operations arithmetiques modulo a effectuer par les 
huitiemes moyens de calcul dudit dispositif t6moin pour calculer chacun des 
GAj pour chacun des Pj est r6duit par rapport par rapport k ce qu'il serait si 
les operations 6taient effectu6es modulo n. 

De preference dans ce cas, I'exposant public de verification v est un nombre 
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premier. II en resulte que la paire de cles GA, QA confere une sdcurite 
equivalente a la connaissance de la cl6 privee QA. 

Paire de des coBferamilt luiinie seciurite equBivalennte a la coiimaissaBce die la 

factornsattaoiQ de nn 
De preference, Texposant public de verification v est du type 



= a" 



oil k est un parametre de securit6. 

De preference egalement, I'exposant public de verification v est du type 
ou k est un paramfetre de s6curit6, 

Dans ce cas, la cle publique GA est un carr^ gA^ inferieur k m choisi de 
telle sorte que Tequation 

X* = m<odl El 
n'a pas de racine en s dans Tanneau des entiers modulo n. 
Le dispositif temoin comporte des neuviemes moyens de calcul pour 
calculer les dites composantes QA^^ QA^, ... (QAj , de la cl6 privee QA 
en appliquant des formules telles que : 

GA= QA, '•'^^ mod p, 

ou bien telles que : 

GA .QAj'-^'^^mod pp 1 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG(p.)o 

Ainsi, le nombre d' operations arithmetiques modulo Pj a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA| pour chacun des Pj est reduit par rapport a ce qu'il serait si les 
operations 6taient effectuees modulo im. 

On demontre que la paire de cles GA, QA confere une s6curit6 equivalente 
a la connaissance de la factorisation de n. 

,De pref6rence, pour extraire la ki^me racine carree de GA dans le corps de 
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Galois CG(pj), on utilise les methodes suivantes : 

- dans Je .cas-«0u*^le ^aGteur»^preinier-p,^est'^eon 3 modulo^ 4, les 
neuviemesi&moyens^dei^ealeul du-^dispositif*^^^ un 
algorithme*^durttype^: 

X = (p+l)/4 ; y = x*" mod (p-1) ; z = y ; QA. s GA' mod p^ 

- dans le cas oil le facteur premier p, est congm ^ 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

Objet nomade. Carte bancaire 
La presente invention conceme egalement un objet nomade permettant de 
mettre en oeuvre le proc6d6 ci-dessus expos6. 

L' objeJ^/nomadeiselon^V i%Nvention«»se«pr^sente;»^ la forme 

d'une-cai^e.bancaire*k miGr^ charge de 

travail pend^t'iuneisjess^ionidestin^jeiJl.pr^^^^ seFveur controleur, 

- Tauth^ntifh^^d'^uirefentiit^i^ 

- rorigineset rint6g^]td\d'un^message m;^ 
L* objet nomadeibMttfintei^enir^ttroisfendt^s^^^^^ 

I. Une pren[iiere entity, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone memoire 
contenant des facteurs premiers Pj, p^, (p. , ..0 (i etant superieur ou egal ^ 

2) d'un module public n tel que n = p^.p^. Le dispositif temoin 

dispose aussi d*une deuxieme zone memoire contenant : 

* des composantes QA„ QA,, ... (QA,, ...), et QB^, QB^, ... (QBj, ...), 
. . . , repr^sentan t3desir©l€s'*priv6es^Q Af QB^r. , 

* des cl6s^ publiques GA, GB, ... ay ant respectivement pour 
composantes GA^ GA^, ... (GA, , ...) et GB^, GB^, ... (GB, ? ...) 

* des exposants, publics de verification vx, vy, ... 

Les cl6s privies et les cles publiques sont li6es par des relations du type : 
GA.^A" mod n = 1 ou GA = QA"mod n 



Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R, = r " mod 
ou iTj est un alea tel que 0 < iTj < Pj . 

Ainsi, le nombre d'operations arithmetiques modulo p, a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des Rj pour chacun 
des Pj est reduit par rapport k ce qu'il serait si les operations 6taient 
effectu^es modulo n. 

Uo Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 
EUe peut etre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appel6 : 

* dispositif demonstrateur dans le cas de la preuve de T authenticity 
d*une entite ou de Tauthenticitd d'un message, 

* dispositif- de signature dans les cas de la preuve de Torigine et de 
rintegrite d'un message, 

IIIo Une troisieme entit6, appelee dispositif controleur, se presente 
notaiiunent sous la forme d'un terminal et/ou d'un serveur distant connect^ 
a un r6seau de conununication informatique. Le dispositif controleur verifie 
Tauthentification ou Torigine et Tintegrite d'un message, 
L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de mani^re 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. 

Le dispositif temoin revolt du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que ([l<dl<vx»let comporte des deuxiemes 
moyens de calcul pour calculer a partir dudit defi d une ou plusieurs 
reponses D en effectuant des operations du type : 

15*1 = B-j . QA, ^ mod p^ 
ou r^ est un alea tel que 0 < Fj < Pj 
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Ainsi, le nombre d' operations arithm6tiques modulo Pj k effectuer par 
lesdits deuxiemes-moAyenswde^calcul vpoiir^Gal(^^^^ reponses D, 

pour^chaGunvdes»p,?est*reduit^par^^^ ee^qu^il seraifcsitles operations 

etment<feffeGtuees!fmodul0 n 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

Cas ou Fexposant de verification v est unique 
De meme que precedemment, Tobjet nomade fait intervenir trois entites : 
I. Une premiere entite, appelee dispositif t^moin, est contenue dans ledit 
objet nomade. Le dispositif t^moin dispose d'une premiere zone mdmoire 
contenant des facteurs premiers p^, p^, ... (p,, ...) (i ^tant superieur ou egai 
a 2) #^u;n»m©.dulei*pubK^n^t^ Le/.dispositif t6moin 

disp0se^aussi«d^un^4^M4^me*z 

*tle§ieomp^anj(ei^ .„ (QB,, ...), 

reprJsentant^djesf^l^'slprivees^Q^^Q^^ ... 

* ^des<«*cMSIIi.puJbliqu.es^^^.^^ ... ayantt-^respeGtivement pour 
composantesft^^fcfJlP*^ ^GB,^..)l. 

* un exposant publie de verifieation v. 

Les paires de cles privies et publiques sont liees par des relations du type : 

GA.QA' mod n ^ 1 ou GA = QA^'mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calGuler des engagements R, 

• en effeGtuant des operations du type : 

Rj s mod»»p> 

ou Fj est^un entier,^ tire^^au hasard, associ6 au nombre premier^Pp tel que 0 < 
Tj < Pj , appartenant*^ au*moiBs^une eolleetiontd'al^^fr^v ^1?^^ 

• puis en appliquant la methode des restes Ghinois, 

II y a autant d'engagements R que de collections d'al6as {r^, r^, Tj, ••.}, 
Ainsi, le nombre d' operations arithm6tiques modulo p, k effectuer par 
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lesdits premiers moyens de calcul pour calculer chacun des pour chacun 
des p, est r6duit par rapport k ce qu'il serait si les operations etaient 
effectu^es modulo nn. 

n. Une deuxi^me entite est appelee dispositif pilote dudit dispositif t6moin. 
EUe peut etre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrite d*un message. 

nio Une troisieme entity, appelee dispositif controleur, se prdsente 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique. Le dispositif controleur v6rifie 
Tauthentification ou I'origine et Tintegrite d'un message. 
L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur. 

Le dispositif temoin refoit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dBj ,00} tels que 0 < dA < v » 1. Le nombre 
des collections de defis d etant egal au nombre d' engagements R. Chaque 
collection {dA^ dBj o..} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA, dB, •••} des 
reponses D, A cet effet, 
o il effectue des operations du type : 

D, = r, . QAj o QBj . ... mod p, 
° puis, il appliquant la methode des restes chinois. 
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II y a autant de rdponses D que d' engagements R et de defis d. 
Ainsi,.ie nonibre d' operations arithnaetiques modulo p, a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacun des p, est reduit par rapport A ce qu'il serait si les operations dtaient 
effeetuees modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

On va maintenant exposer des variantes de realisation de Tobjet nomade 
selon rinvention concemant : 

- le cas d'une authentification d'entitd, 

- le cas d'une authentification de message, 

- le cas d'une signature num6rique de message. 

Cas d'une authentification d'entite 
Cas ou Fexposant de verification v est unique. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un dispositif controleur Tauthenticite d'une entite. 
Conrnie dans le cas general, la session fait intervenir trois entites. 
I. Une premiere entite, appelde dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone m^moire 
contenant des facteurs premiers Pj, p^, (p., ..•) (i etant superieur ou egal 

a 2) d'un module public n tel que n = p^.p^. Le dispositif temoin 

comporte aussi une deuxifeme zone memoire contenant : 

* des composantes QA,, QA,, ... (QA., ...), et QB^, QB„ ... (QB^, ...), 
repf esentant des^cles privies QA,^QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA^, ... (GA,, ...) et GB^, GB^, ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cies privees et publiques sont liees par des relations du type : 
GA.QA' mod n ^ 1 ou GA = QA^'mod n 




He Une deuxieme entite est appelee dispositif demonstrateur du dispositif 
temoin. EUe peut 6tre dgalement contenue dans ledit objet nomade. 
fflc Une troisi&me entit6, appelte dispositif controleur, se pr6sente 
notaniment sous la forme d'un terminal et/ou d'un serveur distant connect^ 
a un reseau de communication infonnatique. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif t6moin et/ou ledit dispositif demonstrateur audit 
dispositif controleur. 

Pour prouver Tauthenticit^ d'une entitd, ledit objet nomade execute les 
etapes suivantes : 

o eftape 1. eimgagemeinilt M de disposittSlT Hemonim t 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r^^ r^j r^^ c^}, telle que, pour chaque facteur premier p,, chaque 
collection comporte un alea ir,positif et plus petit que . 
Le dispositif t6moin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r, k la puissance v idme modulo p, , pour chaque facteur premier 
Pp 

R, s T^ mod p, 

Ainsi, le nombre d'operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des pour chacun des Pj 
est reduit par rapport a ce qu*il serait si les operations etaient effectuees 
modulo na) 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin 6tablissent 
chaque engagement R modulo m selon la methode des restes chinois. 
II y a autant d' engagements R que de collections d'al6as {r^^ r^j oo,}. 

o etape 2c tramismissHom des emgagemeinits R ett recepftioini des delBs d 
destines sm disposittilHtemom : 
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L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur tout ou partie de chaque engagement R. L'objet 
nomade comporte des moyens de reception pour recevoir des-coUections de 
d6fis d {dA, dB, .•.} produits par ledit dispositif contrdleur. 

• etape 3. reponse du dispositif temoin aux defis d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de defis d {dA, dB, ...} 
refues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

D, s . QA, . QB, . ... mod p^ 
puis, il applique la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo p, k effectuer par les 
troisiemes moyens de calcul pour calculer chacun des Dj pour chacun des Pj 
est reduit par rapport h ce qu'il serait si les operations 6taient effectuees 
modulo n. 

II y a autant de reponses D calculdes par le temoin que d'engagements R et 
de defis d. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur tout ou partie de chaque reponse D. 

• etape 5. verification par le dispositif contrdleur : 

Le dispositif controleur verifie la coherence des triplets {R, d, D} et 
I'authenticite de I'entit^ controlee. 

Cas d'une authentific^tion de message 
Cas ou I'exposant de verification v est unique; 
Dans le cas de cette variante de realisation particuli^re* 4a session est 
destin6e k prouver a un controleur I'authenticite d'un message m. 
Conrnie dans le cas general, l'objet nomade fait intervenir trois entit^s : 
I. Une premiere entity, appel6e dispositif temoin, est contenue dans ledit 
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objet nomade,. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p^, „o (p, 5 •«) (5 etaM sopeoeunir egaB a 2) d'un 

module public im tel que im = Pjop^o P3 Le dispositif t6moin comporte 

aussi une deuxieme zone memoire contenant 

* des composantes QAj, QA^^ o« (QA^, et QB,, QB^, 000 (QB,, o«), 
representant des cles privees QAj QB, ... 

* des cles publiques" GAj GB, ... ayant respectivement pour 
composantes GA^, GA^, „o (GAj, et GBj, GB^, 000 (GB^5 o«) 

* un exposant public de verification v, 

Les paires de elds privees et publiques sont li6es par des relations du type : 

GA.QA' mod im = 1 ou GA = QA'mod un 
IIo Une deuxieme entire, est appelee demonstrateur dudit dispositif temoin. 
EUe pent etre egalement contenue dans ledit objet nomade, 
in. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte k un reseau de 
communication informatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de mani^re 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur. 

Pour prouver I'authenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

o ©tape 1. eegagemeimt R dm disposittif temoiB t 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, a chaque appel, au moins une collection de nombres 
entiers {r^j r^^ r^^ telle que, pour chaque facteur premier Pj, chaque 
collection comporte un alea r,positif et plus petit que p, . 
Le dispositif t6moin comporte des deuxiemes moyens de calcul pour 61ever 
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chaque alea r, a la puissance v ieme modulo p, , pour chaque facteur premier 
Pi. 

Rf= r,"" mod . 

Ainsi, le nombre-d'op^rations arithm^tiques'^modulo p, A effefctuer par les 
deuxiemes moyens de calcul pour calculer chacun des K^ pour chacun des p, 
est r^duit par rapport a ce qu'il serait si les operations etaient effectudes 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif t^moin 6tablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {Tj, r,, Fj, .•.}. 

• etape 2. reception des defis d destines au dispositif temoin: 

Le dispositifitd'emonst^atejirtcom^^^ calcul pour 

calculerT?iUnttjietQn«rT?5^nitappliq,ua^ hachage^f ayant conmie 

arguments;^le%»messaggapm«iet^chaqui|^^ Rr^ L'objet nomade 

comporte^j^des^moyejrtsif^de^transmissiont^pour^^ dispositif 
controldUr le^jeton*^r!lL'b^ de reception 

pour recevoirifdes^GoMeMons'^desi^defis^^^ -{dA,-.dBy^-...} produits par ledit 
dispositif controleur au moyen du jeton T. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ..•} 
regues du dispositif controleur. A cet effet, 
il effectuant des operations du type : 

D,^ . QA/^^IIqB^T:.. mod p, 
puis, il applique la methode^des restes^chinois. 

Ainsi, le nombre d' operations arithm^tiques modulo p, .^ effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des p, 
est r6duit par rapport k ce qu'il serait si les operations Etaient effectu6es 
modulo n 
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II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

o ettape 4* domuniees destiiaees sm disposiftilT comttrolleeir : 
L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse B. 

o (Btop© So verilRcaitiolm par le disposMf conuttrSleunr i 
Le dispositif controleur vdrifie la coherence des triplets {R^ d, B) et 
rauthenticit6 du message m. 

Cas d'uBinie signathuire eBmeriquae de message 
Cas OP FexposaMtt de verilBcaltfioe v est uBmqeeo 
Dans le cas de cette variante de realisation particuliere, la session est 
destin^e a prouver a un controleur la signature numerique d'un message m. 
Comme dans le cas general, Tobjet nomade fait intervenir trois entitds : 
Ic Une premiere entite, appelee dispositif t6moin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p^^ .o. (p^ , o*o) (5 ettaimt suBperneimr om egal 

a 2) d'un module public m tel que hb = p^op^o Pj Le dispositif temoin 

comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA^j QA^, (QA^5 o,o), ef QB^^ QB^, c. (QB^, ooo), 
repr^sentant des cles privees QA, QB, ... 

* des cl6s publiques GAj GB, ... ay ant respectivement pour 
composantes GA^^ GA^, ... (GAj, ...) et GB^j GB^? .o. (GB,5 ...) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA'' mod im = 1 ou GA = QA'mod im 
Mo Une deuxieme entite est appelee dispositif de signature. EUe pent etre 
6galement contenue dans ledit objet nomade. 

III. Une troisieme entite appelee dispositif controleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connect^ k un r6seau de 
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communication infomiatique. 

L'objet nomade comporte des moyens de connexion ^"pdur connecter 
61ectriquementi electromagndtiquement, optiquement ou^^ de - maniere 
acoustique ledit dispositif temoin et ledit dispositif de?^ signature audit 
dispositifKContodleur. 

Pour prouver la signature d*un message ledit objet nomade execute les 
Stapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, h chaque appel, au moins une collection de nombres 
entiers {r„ r^, Fj, ...}, telle que, pour chaque facteur premier Pj, chaque 
collfe"Gtion«ciomp0i1:e*un»al6a*i;|posit^^^^ 

dispositifwlemoimeompoiteM^^ pour 61ever 

_ chaque^al6d h Fa puissance v4eme m0duloip,^po.up chaque4aeteur premier 

Pulst 4esdits^deu>xienies^^moyens*de calcul dudi etablissent 
chaque engagement R modulo n selon la methode des restes chinois. 
Ainsi, le nombre d'operations arithmetiques modulo Pj a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des Pj 
est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo n. 

II y a autant d'engagements R que de collections d'al6as [r^j r^, Fj, ..•}. 

• etape 2. defi d destine-au dispositif 4gmoiii ^ 

Le dispositif de signature comporte des troisi^mes moyens de calcul pour 
calculerren appliquant une^fonction de hachage f ayant comme arguments 
le message m et chaque engagement^R^au moins une eoUeetion de d6fis d 
{dA, dB, .•.} tels que 0<dA<v-l.Le nombre des collections de d6fis d 
etant 6gal au nombre^d' engagements R. Chaque collection {dA, dB, .•.} 
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comprend un nombre de d6fis egal au nombre de paires de cles. 

Le dispositif de signature transmet les collections de d6fis d au dispositif 

temoin. 

o etape 3« repomse dun dSsposittiff temom aim delS d t 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses h partir desdites collections de defis d {dA^ dB, «o} 
regues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

B, = r, • QA/^ o QB,*"* . .o. mod p, 
puis, il appliquant la m6thode des restes chinois. 

Ainsi, le nombre d'operations arithm6tiques modulo p^ k effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des p^ 
est reduit par rapport k ce qu*il serait si les operations etaient effectuees 
modulo im. 

II y a autant de r6ponses D calculees par le temoin que d' engagements R et 
de defis d. 

L'objet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur. 

o etape 4o dominiees destinees ana dJsposntiiF coimttrdlleer 2 
L'objet nomade coniporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

- le message 

- les collections de d6fis d ou les engagements 

- chaque reponse B 

o etape 5« verilRcaltioiffi par fle dispositif coinitrdleiuir 
Le dispositif controleur verifie la coherence des triplets {Rj d^ D} et la 
signature numerique du message m. 

Paire de cles comferant nut secorite eqmvaleete a Ja coranaissaBce de la 

cle privee Q 
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La paire de cl^s GA, QA,... n'a plus de raison d'etre syst6matiquement 
d^duite de Tidentitd du temoin, comme dans, le cas du proc6d6 GQ. 
Dans le cas de la variante ci-apres exposee les composantes QAj, QA^, 
(QAj, •..), et QBj, QB^, (QB,, ...), -» des cles privies QA, QB, ... sont des 
nombres tires au hasard a raison d'une composante QA^ , QB, , ... pour 
chacun desdits facteurs premiers p,, lesdites cles privees QA, QB, pouvant 
etre calculees a partir desdites composantes QA„ QA„ ... (QA,, ...), et QB„ 
QBj, ... (QB,, ...), par la methode des restes chinois. 

Le dispositif tdmoin comporte des huiti^mes moyens de calcul pour calculer 
lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

G^ s QAf^mod p, 

• puis en appliquant la methode des restes \cMnois pour etablir GA tel que 

GA s QA^modin 

ou bien^tel que*^; 

GA.QA' mod n s 1 

Ainsi, le nombre d'opdrations arithm6tiques modulo p, ^ effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun des 
GA, pour chacun des p, est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo n. 

De preference, Texposant public de verification v est un nombre premier. II 
en resulte que la paire de cles GA, QA confere une security dquivalente a la 
connaissance de la cle priv^e QA. 

Paire de cles conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, Texposant public de verification v est du type 

v = a' 

oii k est un parametre de securite. 

De preference egalement, I'exposant public de verification v est du type 
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v = 2'' 

ou ]k est un parametre de s^curite. 

Dans ce cas, la cle publique GA est un cane gA^ inferieur a nn choisi de telle 
sorte que T equation 

= gA modi na 

n'ait pas de racine en x dans Tanneau des entiers modulo u 
Le dispositif temoin comportant des neuviemes moyens de calcul pour 
calculer lesdites composantes QA^, QA^, (QA^ 5 000) de la cle priv6e QA 
en appliquant des formules telles que : 

GA= QA, """^^^ mod p, 

ou bien telles que : 

G A «Q A, mod 1 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CGip). 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QAj pour chacun des p, est reduit par rapport k ce qu'il serait si les 
operations etaient effectu^es modulo sn. 

On demontre que la paire de cl6s GA, QA confere une securite 6quivalente 
a la connaissance de la factorisation de n. 

De preference, pour extraire la kieme racine carree de GA dans le corps de 
Galois CG(Pj), on utilise les m^thodes suivantes : 

* dans le cas oil le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y s x*" mod (p-1) ; z = y ; QA. = GA* mod p. 

* dans le cas ou le facteur premier p, est congru k 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 
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Terminal ou Serveur distant 

Concept genepaKGQitlX^^ 

La pr^sente*^inventa0n -coneeme ^egalement'^^^^^ se 
pr6sentant souswla fopme-'d'un teHiiinal ou d'un^seweuris^digtiaiit connect^ k 
un r^seajrde eommunicatipn infomiatiqpe. 

Le terminal ou le serveur selon T invention pennet de mettre en oeuvre le 
proced6 ci-dessus expose et de diminuer la charge de travail pendant une 
session destinee a verifier : 

- r authenticity d'une entite et/ou 

- Torigine et I'integrite d'un message m. 
Le dispositif de controle met en oeuvre : 

- un I module publie>-n tel que^ n soit^le produ^it-^de-faeteurs premiers 
secrets p„ p^;^,.. (pj, ...) (i dtant sup^rieur ou ^gal k i) 

- des cles publiques^GA, GB^¥... 

- des exposants publics de verification vx^ vy, .„ 

lesdites cles privees GA et les cles?*publiques- associees QA.;etant liees par 
des relations du type : 

GA.QA" mod n = 1 ou GA = QA"mod n 
Le dispositif de controle fait intervenir trois entites. 

!• Une premiere entite, appelee dispositif temoin, contenue notanunent dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
R et des r6ponses D k des^defis^d. 

n. Une deuxieme entity est appel6e dispositif pilote dudit dispositif temoin. 

EUe peut etre contenue notamment dans ledit objet^nomade.^^ 

IIL Une troisieme entite, appel6e dispositif controleur, est contenue dans 

ledit dispositif de controle. 

Le dispositif de contr61e comporte : 




- des moyens de connexion pour connecter 61ectriquement, 
^lectromagn^tiquement, optiquement ou de mani^re acoustique ledit 
dispositif controleur audit dispositif t6moin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn6es produites 
par ledit dispositif controleur vers ledit dispositif t^moin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote. 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis d 
tel que (tt < d < - 19 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D re9ues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements en effectuant des operations du type : 

R'jSGA^B" modnn 

ou du type : 

- des troisi&mes moyens de calcul pour verifier que les triplets {R% dj 
D} sont coherents. 

Cas on Fexposaimtt de veriOcalSioim v esl emqee 
De meme que precedenunent, ledit dispositif de controle se presente sous la 
forme d'un terminal ou d'un serveur distant connect6 a un rdseau de 
communication informatique. II met en oeuvre : 

- un module public im tel que n soit le produit de facteurs premiers 
secrets Pj, p^., ..o (p^^ o«) (i etant superieur ou egal k 2) 

- des cl6s publiques GA^ GB, ... 

- un exposant public de verification v 

Les cles privees GA et les cl6s publiques associ^es QA sont li6es par des 
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relations du type : 

GA.QA"^ mod n = 1 ou GA s QA-mod n 
ledit dispositif de controle fait intervenir^ trois entit^seei^ 

I. Une premiere entity, appel^e dispositif tdmoin, est contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
R et des r^ponses D a des defis d. 

II. Une deuxieme entitd est appelee dispositif pilote dudit dispositif temoin 
Elle pent Stre contenue notanmient dans ledit objet nomade. 

in. Une troisieme entite, appel6e dispositif controleur, est contenue dans 

ledit dispositif de contrSle. 

Le dispositif de contrSle comporte 

- des moyens de connexion pour connecter ^lectriquement, 
61ectromagndtiquement^ optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn^es produites 
par ledit dispositif controleur -wers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs d^fis d 
{dA, dB, ...} tels que 0 < dA < v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
r6ponses D revues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements en effectuant des operations du type : 

R'= OA '\ GB '^ ...D' mod n 

ou du type : 

R'. GA GB '\ D'^ mod n 
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- des troisiemes moyens de calcul pour verifier que les triplets {R% 
D} sont coh^rents. 

Cas d'ume aiiEtlhieinitilficattioini d'eettite 
Cas on Fexposaimtt de verMcatioB v est unmcijuiieo 
Dans le cas de cette variante de realisation, la session est destinee a verifier 
I'authenticite d'une entite. Dans le cas d'une authentification d'entit^, le 
dispositif pilote est appele dispositif demonstrateur. 

Pour prouver T authenticity d'une entite ledit dispositif de controle execute 
les Stapes suivantes : 

o etape !<, eBgagemeimtt R do dSsposittnf iemoimi i 
Le dispositif temoin produit au moins un engagement M a partir d'au moins 
une collection d'aldas {r^j r^j ooc}, telle que, pour chaque facteur premier 
p,, chaque collection cbmporte un alea r, entier positif et plus petit que p, . 
II y a autant d'engagements R que de collections d'al6as. 

o etape 2, delSs prodmtts par le dispositif coimtrofleuiiir et desttimes sm 
disposStiir temoiim i 

Les moyens de reception du dispositif de controle resolvent tout ou partie 
de chaque engagement transmis par le dispositif demonstrateur, et le 
transmettent au dispositif controleur. 

Le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir re^u tout ou partie de chaque engagement R^ au moins 
une collection de defis d {dA, dB, 000} tels que 0 < dA < v = 1. Le nombre 
des collections de defis d est egal au nombre d* engagements R. Chaque 
collection {dAj dB, 000} comprend un nombre de defis egal au nombre de 
paires de cl6s. 

o etape 3, repoioise de dispositif temoip am deffis d t 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses k partir desdites collections de defis d {dA, dB, 000} 
regues du dispositif controleur. II y a autant de reponses D que 
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d*engagements R et de defis d. 

• etape 4. donnees^desdn^es^au dispositif^contF^^ 

Les moyens de reeeption du dispositif de controle regeiiventp^du dispositif 
d^monstrateur chaque reponse D. 

• etap^ig^. vei^flQation par le dispositif controleur : 

Le dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'= GA GB ...D' mod n 

ou du type : 

R'. GA GB '\ ...= mod n 

Le dispositif controleur comportejifxdes troisidmes moyens^de calcul pour 
comparer««et verifierMque ehaque>tengagement reconstruit R%reproduit tout 
ou partie^ de chaque^*engagement"«-«R transmis ^a Tetap^ 2 par^ le dispositif 
demonstrateur.' 

Cas d'une authentification de message^ 
CasttOU'^l^'exposant^de^^veFificfation v est unique^ % 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a v6rifier Tauthenticite d'un message m. Dans le cas d'une 
authentification d'un message m, le dispositif pilote est appele dispositif 
demonstrateur. 

Pour prouver I'authenticite d'un message m, ledit dispositif de controle 
execute les etapes suivantes : 

• etape 1. engagement R du dispositif t^moin^: 

Le dispositif temoin produit au moins un engagement R k partir d'au moins 
une collection d'al^as^fj, r^, ...}, telle que, pour chaque faeteur premier 
p,, chaque collection comporte un alea r, entier positif et plus petit que p^ . 
II y a autant d'engagements R que de collections d'aleas. 

• etape 2. defis d produits par ledit dispositif controleur et destines 




ami dispositiiF temoiim : 

Les moyens de reception du dispositif de controle re9oivent un jeton T 
calcule et transmis par le dispositif demonstrateur en appliquant une 
fonction de hachage IF ayant conune arguments le message m et chaque 
engagement R. 

Le dispositif controleur comporte des premiers moyens de calcul pour 
calculer, apres avoir regu le jeton au moins une collection de d^fis d {dAj 
dlBj •••} tels que 0 < dA < v - 1. Le nombre des collections de defis d est 
egal au nombre d' engagements R. Chaque collection {dA, dB, 
comprend un nombre de defis 6gal au nombre de paires de cl6s. 

o etope 3o reponnse de dnsp<i>snltif ttemoaim aim deiS d i 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses B, k partir desdites collection de defis d {dA, dB, „o} 
regues du dispositif controleur. II y a autant de reponses D) calculees par le 
temoin que d'engagements R et de defis d. 

o ©tape 4. dosniniees destieees am disposittnlF coetroleiuir i 
Les moyens de reception du dispositif de controle re^oivent du dispositif 
demonstrateur chaque reponse B. 

° etape So vernlEicaltioini pair le dispositif comttirSleMr s ■ 
Le dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse B un engagement en effectuant des 
operations du type : 

GA GB o„D" mod un 

ou du type : 

R\ GA GB ^'''o oooH D"^ mod n 
Le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer un jeton T% en appliquant la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R'. 

Le dispositif controleur comporte des quatriemes moyens de calcul pour 
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comparer et verifier que le jeton T' est identique au jeton T transmis k 
r^tap^^^par^le dispQsitifwd^monstrateu^^ 

Cas d'une^signatuFe numeriqu^t'de message 
Cas ou I'exposant de verificatioiiiiiv est uniquen^ 
Dsuis le cas de cette variante de realisation particuli^re, la session est 
destinee k verifier la signature numerique d'un message m. Dans le cas 
d'une authentification d'un message m, le dispositif pilote est appel6 
dispositif de signature. 

Pour prouver la signature numerique du message m, ledit dispositif de 
contr61e execute les 6tapes suivantes : 

• etape 1. engagement R du temoin : 

Le dispositd'fet^moimpripduitiiau'^moinstun*^^ k partir d'au moins 

une^e©ltlg|td0n^d'0^.aSt{tr^jj(^^ premier 
Pji^haquettiGAllS^^t^^^ petit que p, . 

II y ai?autan%d^engag!^^ 

• et^p^..'defi§fd destines^autdisp.a^^^^ 

Le dispositSMe^ignature^^Gale^^^ hachage f 

ayant conrune arguments le message m et chaque engagement R, au moins 
une collection de defis d {dA, dB, ..•} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d est 6gal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cles. 

Le dispositif de signature transmet les collections de d6fis d au dispositif 

t^moin/^^ 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin* comporte des quatriemes moyens- de calcul pour 
calculer des reponses D, partir desdites collections de defis d {dA, dB, 
...}. II y a autant de reponses D calcul6es par le temoin que d'engagements 
R et de d6fis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les r^ponses B au dispositif de signature et/ou au dispositif controleur. 

^ etape 4* doMiees destmees sm disposittiff comiltrSleiuir i 
Les moyens de reception du dispositif de controle regoivent du dispositif de 
signature un message sign6 comprenant : 

- le message 

- les collections de d^fis d ou les engagements 

- chaque reponse Do 

o etope So verificatioim par le dispositif coimftrolleiuir i 
Cas on le dnsposittif coiaiirdleTuir re^oit la coEIecltioini des delSs d 
Dans ce cas, le dispositif controleur revolt les collections des defis d et des 
r^ponses D. 

Le dispositif contrSleuf comporte : 

* des premiers moyens de calcul pour calculer a partir de chaque 
reponse D un engagement R' en effectuant des operations du type : 

GA ''''o GB ...Hr mod nn 

ou du type : 

- R\ GA ^^''o GB ^"'o B' mod n 

* des deuxiemes moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R% 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque defi d^ est identique au defi d figurant dans le message signe. 

Cas ouB le disposiltilT comtroleiuiir re^oitt la collectioim des engagemeMtts R 
Dans ce cas, le dispositif controleur re9oit la collection dps engagements R 
et des reponses B, 
Le dispositif controleur comporte : 

* des premiers moyens de calcul pour calculer chaque d6fi d% en 
appliquant la fonction de hachage f ayant comme arguments le message m 
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et chaque engagement R, 

* des deuxiemes-moyens de .calcul pour calculer,.aloiSt^la collection 
des^engagements^^^emeff eetuMt des*0pi§ifati0n«du«^pe«te 

R^= GA ' GB^": ...D^ moduli ^ 

ou du type : 

R' . GA ^ . GB ' " . = D'^ mod n 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' reconstruit est identique a T engagement R figurant 
dans le message sign6. 

Paire de cles conferant une securite equivalente a la comiaissance de la 

cle privee Q 

La pakeMdesji^el^smGS^Q;^..^ nia^^iipltfswFaisonwsd'etretesyst^ma^^ 
d6duitev dellliSenjdt^tdurt^moin 
Dans ^le fcasi^def la|ft^ai5ianteii#l^^^^^^ 

QAj, QAgi^- (Q%*l!l.,0,^§ti^QB9lQ8f^^ QB, 
... sont des^nombE&srtiiresfau hasard-^^^ QBj, ... 

pour chacunr desdit§*faGteurs«sprQm Q A, QB, 

pouvant etre calculees a partir desdites composantes QAj, QA^, ... (QA,, ...), 
et QB„ QBj, ... (QBj, ...), ... par la methode des restes chinois, 
Le dispositif temoin comporte des moyens de calcul pour calculer les cl6s 
publiques GA, GB, 

• en effectuant des operations du type : 

GA,= QA;modp, 

• puis, en appliquaiit'^la-methiSafe^^^^^^ tel que 

GA = QA'^modm 

ou bien tel que**^' 

GA.QA' mod n = 1 
Le nombre d' operations arithmetiques modulo p, k effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun des 
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GAj pour chacun des Pj est reduit par rapport a ce qu*il serait si les 
operations etaient effectu^es modulo m. 

De preference, Texposant public de verification v est un nombre premier, 
On peut demontrer que la paire de cles GA, QA confere une s6curite 
equivalente k la connaissance de la cl6 privee QA. 

Panre de des coimffeirainit mne secimritte (eqmiivadleinlte a la conneanssaimce die la 

factoosattioB de n 
De preference, Texposant public de verification v est du type 

V = a*' 

ou k est un parametre de s6curite. 

De preference egalement, Texposant public de verification v est du type 
oil k est un parametre de securite, 

Dans ce cas cle publique GA est un carre gA^ inferieur a m choisi de telle 
sorte que requation 

%^ = gAmod im 

n'ait pas de racine en x dans Tanneau des entiers modulo m. 
Le dispositif temoin comporte des neuviemes moyens de calcul pour 
calculer les dites composantes QA,^ QA^, (QAj, o,,) de la cie privee QA 
en appliquant des formules telles que : 

GA= QA( mod p, 

ou bien telles que : 

GA.QAj'-*^''modp,= l 
et en extrayant la kieme racine carree de GA dans le corps de Galois 
CG(p.), 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA, pour chacun des p, est reduit par rapport h ce qu'il serait si les 
operations etaient effectuees modulo im. 
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On peut d6montrer que la paire de cles GA, QA confdre une securite 

equivalente*^ la eonnaissanee de la faGtorisation-de n.- 

De preference, pour-extraire la kieme raeine earree de^s^GA dans le corps de 

Galois^CGCp,), 

* dansii^le .eas ou. le facteur -preniier .p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x*" mod (p-1) ; z = y ; QA. - OA' mod p. 

* dans le cas ou le facteur premier Pj est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notannonent un 
algorithme bas6 sur les suites de Lucas. 

On wa^maintenant (deeidre^ maniere*^detaill6e la -presenter invention en 
presentantudahs une*<premiere partie les elements math^matiques utilises, 
puis^^en ddveloppant-^dansmne^deuxieme partie le proeed^itselon l' invention 
appel6%oiiveau proc^d^. 

Premiere parties : elements mathematiques 
1 . Cdngii||ences«F<r 

Dans ce paragraphe, x.yeiz sont des entiers naturels. z n'est pas nul. 

La notation « x = y (mod z) » se lit « x est congru a y (mod z) » ; elle est 

equivalente a « z divise x—y ». 

LI. Proprietes de base des congruences 

Les quatre lois suivantes sont utiles. 

(Loi A) 

{a^b (mod nt)yx^y (mod/w) } 
=> {a±x = b±y (modm); ajc^b.y (modw) } 

(Loi B) 

{a,x = b.y (modw); a = b (modm); pgcd(a, m) = l } 
=> {x^yimodm) } 




(L(D>n C) 

{a^b (modm) } <=> {a.n^bn (modmja) } 

(Lo5 D) 

{a = 6 (modr^); pgcd(r,5) = l } ^ {^ = Z> (modr); asfe (mod^) ) 

lo2o Tlheoreme de Feirmaitt 

Lx)rsque p est un nombre premier, (mod p). 

Uemnoinisttraittioiiiio 

La relation est triviale lorsque a est un multiple de p. 

Definissons la suite {X} pour un nombre entier a quelconque appartenant ^ 
{1,2, 3, 

{^}= {xi = a. Puis, pour i ^ 1, X/^.^ = a + x,- (mod p)} 
Les /7-1 premiers termes sont distincts et non nuls ; ils forment une 
permutation des entiers' de 1 
Calculons le terme pour Tindice j+p : 

^/-,-p=^/ + /?^ = Xy (mod/?) 
Par consequent, la suite {X} est periodique et sa p^riode est p. 
Selonlaloi A, a,2a3a. ... (p-l)^sl.2.3....(p-l) (mod p) 

SelonlaloiB, a^~^=l (mod p) 

Selon la loi A, =a (mod p) 

13. TBneoireme d^Epler 

Lorsque a et n sont premiers entre eux, a^^"^ s 1 (mod w). 

La fonction d'Euler est notee par (p(n). C'est le nombre d'entiers positifs 

inferieurs a n et premiers avec n. 

=^ Lorsque n est un nombre premier p, cp(p) = p-L 

=^ Lorsque n est le produit de deux nombres premiers distincts Pj et p^. 

=^^q>(n) = (p"l).(p,"l). 

=> Lorsque la factorisation de n est p p/ . p^. 

(p(/i)/w = (1-1/p,) . (1-1/p,) . (1"1/P3) . ... 
lA. Stmuictare du OTrps de Galois CG(p>) 
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Soit un nombre premier impair p. Soit un nombre entier positif a inferieur ^ 
p. D6finissons4a suite {X}. 

{A^}= {xi-a. Puis, pour«./ > 1, x^^i = a.Xi (mod*^/^)} 
Calculous le terme pour Tindiee i+p et utilisons le th^oreme de^^Fermat. 

^i^p = ci^'Xi^ a.Xi = Xi^i (mod /?) 
Par consequent, la periode de la suite [X] est inferieure ou 6gale ^ p-\ et 
elle divise p-1. Cette p6riode depend de la valeur de a. Par definition, cette 
periode est appel^e « le rang de a (mod p) ». 

^rang(a, p) - 1 (mod p) 

Les elements de CG(p) ay ant pour rang p-\ sont appel^s les « elements 
generateurs de CG(p). » La denomination est due au fait que leurs 
puiss^ces*successives dans CG(p), c'est-^-dire, les tennes de la suite [X] 
pour les indices de 1 ^ /t-^I, forment une permutation de tous les elements 
non nuls. de CG(p)i 

Soit un element generateur a de CG(p). Evaluons le rang de I'eiement d 
(mod p) : ce rang s'exprime simplement en fonction de i et de p-1. 
=> Lorsque 4 est premier aveG^-4 , c ' est p- 1 . 

Lorsque / divise p-l, c'est (p-l)/i. 
=> Dans tous les cas, c'est (p-l)/pgcd(p-l, /)• 

Par consequent, dans le corps CG(p), il y a (p(p-l) elements generateurs ou 
cp est la fonction d'Euler. 

Par exemple, lorsque (p-l)/2 est un nombre premier impair /?', il y a p'-l 
elements generateurs, k savoir, 

un seul element de rang 1 : c'est 1, 
=> un seul element de rang 2 : c'est-1, ^ 
=^ p'-l elements de rangp', 

p'-l elements de rang 2.p'; ce sont les elements generateurs. 
1.4.1. Fonction exponentielle sur CG(p) 

Lorsque p est un nombre premier impair et que a est un element generateur 




de CG(p), la transformation « elever a a la puissance x ieme (mod p) » 
permute les elements non nuls de CG(p). La permutation inverse est d^finie 
par « prendre le logarithme discret de y en base a dans CG(p) ». 
Lorsque a est un element generateur de CG(p), 

xh^y = a'' (mod p) <=> y\-^ x^log^iy) dansCG(/7) 
lo4o2o FoMctSoe puaissaBce SBir CG(p) 

Lorsque p est un nombre premier impair et que v est premier avec p-1, la 
transformation « elever jc ^ fa puissance v ieme (mod p) » respecte le rang 
des elements. EUe permute les elements de CG(p). La permutation inverse 
est definie par une autre transformation « 61ever y a une puissance s ihme 
(mod p) » ou p-l divise v.s-l. On dit que Texposant s est « inverse de 
Texposant V (modp-1). » 

xh^y^x^ (mod p) « yh-^x^y^ (mod p) 
IcSo Foiniclnoiiii deJIIIainnniiclhiaell 

La fonction de Carmichael de n est notee par X(n). C'est la valeur maximale 
du rang (mod n). 

Lorsque n est le produit de deux nombres premiers impairs /?, et p^, 
=>X(n) = ppcm(p,-l, p^-l)- 

=> Lorsque aetb sont premiers entre eux, X(a.b) = ppcm(X(a), X(Z?)). 
=»Pour les puissances d'un nombre premier impair /?, X(p') = p''\ 
=>Pour les puissances de 2, X(2) = 1; X(4) = 2; X(T) - 2"'^. 
=>Dans tous les cas, X(n) divise cp(n). L'egalite n'intervient que lorsque n 
est premier. 

lo6. Residos quiiadraltEqees 

Considerons Tequation x^ = c (mod n) ou rentier positif c est inferieur a n et 
premier avec n. 

o Lorsque T equation a des solutions en x, on dit que c est un r^sidu 
quadratique (mod n). 

o Lorsque T^quation n*a pas de solution, on dit que c est un r6sidu non 
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quadratique (mod n). 
ensemble" des residus quadr'atiqiie&p(in©d «) forme un groupe (mod n) 
pour la multiplication. En effet, le produit de deux residus^ quadratiques 
(mod n) est un r^sidu quadratique (mod n). En outre, le produit d'un r^sidu 
quadratique (mod n) par un residu non quadratique (mod n) est un r6sidu 
non quadratique (mod n). 

Lorsque n est un nombre premier impair p, chaque residu quadratique (mod 
p) a exactement deux racines carrees dans CG(p). En effet, soit un element 
generateur a de CG(p) : a (mod p) est un residu quadratique si et seulement 
si / est pair ; ses racines sent alors ±a^ (mod p). Les elements x et p-x ont le 
meme carr6. 

Remarque. -Dans CG(p), lorsque (p-l)/2 est un nombre premier impair p\ 
les residus quadratiqiies (mod p) sont les /? -1 elements de rang /?' 
compl6t6s par Tdl^ment de rang 1, c'est^a-dire,. 1. 
I.7. Symboles de begendre et de Jacobi 

Lorsque p est un nombre premier, on peut classer les entiers positifs en 
deux categories : les multiples de p et les nombres - premiers avec p. En 
outre, les nombres premiers avec p se classent eux-memes en deux 
categories : les residus quadratiques (mod p) et les residus non quadratiques 
(mod p). 

Legendre a introduit un symbole special note par (c | /?). Le symbole de 
Legendre de rentier positif c par rapport au nombre premier p prend les 
valeurs +1, -1 et 0. 

• (c I p) = 0 lorsque c est un multiple de*p. 

^ (c I p) = +1 lorsque c est un residu quadratique (mod p). 

^ {c I p) = -1 lorsque c est un r6sidu non quadratique (mod p). 

La formule suivante etablie par Euler permet de calculer le symbole de 

Legendre (en assimilant tout naturellement les valeurs -1 et ; cette 

formule est encore appel6e le « crit^re d' Euler. » 



61 



(c I /7) = c^'^(mod/7) 
Le symbol© die Jacolbn generalise le symbole de Legendre. Les deux 
symboles sont notes de la meme maniere. Connaissant la factorisation de 
rentier impair n, la formule suivante definit le symbole de Jacobi par 
rapport ana partir du symbole de Legendre par rapport a chaque facteur 
premier de n. 

Si n=p;.p/... , alors (c U) = (c | pXXc I p/ ... 
En d'autres termes, siaetb sont des entiers positifs impairs premiers avec c 
etc', 

(c I a.b) = (c I d).(c I b) et (c \ a).(c' \ a)=(c'.c | a) 
Attention, residus quadratiques et Elements avec symbole de Jacobi 6gal k 
+1 ne coincident pas. 

* Tous les residus quadratiques (mod n) ont un symbole de Jacobi 6gal k+1. 

* La valeur -1 du symbole de Jacobi caracterise exclusivement des residus 
non quadratiques (mod n). 

* Lorsque n n'est pas premier, il y a des residus non quadratiques dont le 
symbole de Jacobi vaut +1. 

La lo5 de reciprodtte qnnadrattiqiiuie lie les symboles de Jacobi (m | h) et 
(n I m) ou m et n sont deux entiers positifs impairs : Legendre et Euler 
connaissaient cette Iqi ; Gauss Ta demontree. 

(m I n)Xn \ m) = (-1)""''' 
En d'autres termes, le signe change quand metn sont tous deux congrus k 3 
(mod 4). 

Notons la relation : (-1 | n) = (-i)^""**'^ 

En d'autres termes, 

-1 est un residu quadratique mod n lorsque n est congru a 1 mod 4 ; 
-1 est un residu non quadratique mod n lorsque n est congru a 3 mod 4 ; 
Notons enfm la relation : (2 | n) = (-1)^" "^^^^ 

En d'autres termes. 
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±2 sont des r6sidus non quadratiques (mod n) lorsque n est congru k 3 ou 5 

(mod«8»)'>|t 

±2 sont*'!desMFesidusMqu;adratiqiijes^mod^n)> loiisque^^ estoeongni k 1 ou 7 
(medSi). 

1.8. " Suites de Liicas 

Consid6rons I'^quation du second degre : les coefficients S et P sont 
respectivement la somme et le produit des racines a et y3, lesquelles racines 
sont distinctes lorsque le discriminant A n'est pas nul. 

(x-a).(x-fi) = x^ -(a+ /?) jc + a.j3 = x^-S.x + P 

I^s^suitesmdeiiLil.^asi{t^}li|tl{!¥})i^:sont«d^Me^^^ S 
et -JP ^0nt«deiu«if nti^anonwnulslStelsjiq^^ ; chaque 

termeiejstifntder'*p.£^jP4qpjgflesi^^^^ 

W%{"S^®5%'i^"l'»^P^S?»pouwzV> Q,^4M Smi4^ P.ui} 

Les <deux«suiitgsif^dMetreM4ila^m§i^^ ci- 
dessus : x^ -S.x + P = 0. 

Supposons les expressions suivantes vraies pour les indices i et i+l. 

«/=-^ et v,=a'+^' 

On verifie alors simplement que les expressions sont encore vraies pour 
rindice i-H2. Or, elles sont vraies pour les indices 0 et 1. Par recurrence, 
elles sont done vraies pour tout indice / positif ou nul. - 
Par la suite, om*utilisera egalement les relations suivantes. Leur 
demonstration est^triviale. 

Pour doubler Tindice, 

^ W2./ = W/'V/; V2,i = vf - 

Pour retrancher un a 1' indice. 
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= iSMf - V,) / 2 J* et Vi_i = (^-.v,. - A.W,.)/ 2.P 
Pour ajouter un k I'indice, 

= iS.Ui + vy ) / 2 et v,+i = (S.vi + A.M,- ) / 2 
Par ailleurs, les racines a et J3 s'expriment facilement en fonction de 
S = a + fi et de Va = Of- yS. 

a=(S + 4A)/2 et )9 = (5-Va)/2 

Les expressions de u. et en fonction des racines oret >5s*6crivent encore : 



2.Va 



2.Va 



et V,- = 



5 + Va 



Developpons les polynomes + Va)^'*"^^ et (5- Va)^'*"*"^ et combinons 
leurs d^veloppements. 



I08.I0 Suflittes de Liuicas sur le corps CG(p) 

Lorsque p est un nombre premier impair, p divise les coefficients du 
binome C'^ pour i allant de 1 a p-1 . 

En d'autres termes, il ne reste alors qu'un seul terme dans chacune des deux 
expressions ci-dessus. 

2^'\u^ = A^P'^^^^ (mod p\ c'est - a - dire, = (A | p) (mod p) 
2P~Kv^=SP (modp), c'est-a-dire, v^^S (modp)^ 
Lorsqpe (A\ p) = +I5 s 1 (mod p) et v^=S (mod p) 

Dans ce cas, 

"p-i =(^Wp -v^)/2.P = 0 (mod p) 
Vp-i=(5.v^-A.w^)/2./> = 2 (mod/?) 
Lorsque A est un r^sidu quadratique par rapport a un nombre premier impair 



.1 



2.k 



Ah- ... C 



2.yt-l 
2.k+l 
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p ne divisant ni P, ni 5, ni A, les suites de Lucas pour les indices p—\ etp 
sui; le coFps^CG(p0^^sont-«'exactement dans' 1' etat initial^c ' estr-Ji-dire, T 6tat 
poup les indiees'^0 et*l. La p6riode*des* suites de Lucas? sur CG(pt) divise 
alors/7-L 

Lorsque^^A I p) = -l, =-1 (mod p) et Vp=S (mod p) 
Dans ce cas, 

Wp+i = (SMp + ) / 2 = 0 (mod p) 
v^+i = (S7vp + A.w^)/2 s 2.P (mod ;?) 

Puis, 

= ('S'.Wp+i + Vp+i)/2 = P (mod;?) 
v^+2=('5.Vp+i+A.w^^.i)/2^5.P (mod/7) 
LorsquewA j^stiiun«EesidjUinon«quadFatiqiujs^ tan nombre premier 

impain^p^ne^divisanttnif^^^ m-A,4,esisuitesv:de Luca^^^ indices 
et f7+2 s.ur^le eorp^CG^))«sont<^dans^^^ multipli^ par P. Lorsque P 

est 6gaka t,51aipe|d^detdest&uitesfdef^ diiteise»al©rs p+ 1 . 

C'est ainsi que Lucas a decou»vert et etafblifcle theorfeme-suivant : 
Lorsque*/? esfc^un nombre*premier4mpair«i»ne divisant-^ni iP,%^ 5, ni A, p divise 
«-(A I p)tiu^,^^^. 
1.9. Racines carrees dans CG(p) 
1.9.1. Cas ou p est congru a 1 (mod 4) 

Lorsque p est congru a 1 (mod 4), on utilise les suites de Lucas pour 
calculer une racine carree de c (mod p). On affecte la valeur c au param&tre 
P, Puis, on cherche une valeur du parametre S telle que le discriminant A = 

— 4.C soit lin residu£^non«^quadr'atique*(»m©d*^^ 
Lorsque A est un residu non quadratique par rapport k un nombre premier p 
impair ne divisant ni c, ni 5, ni A, les suites de Lucas pour les indices /?+l et 
p+2 sur le corps CG(p) sont dans I'dtat initial multipli6 par c. 
Or, on connait les relations suivantes : vf - A.wf = 4.P' et = W/.Vy 
En d'autres termes, /? divise alors m j qui est egal au produit de u par 
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Vivz- cons6quent, p divise alors ou v^^„^. En fait, p ne peut diviser 

; il divise done u^^,^. 
On obtient done, ^lp+\) 1 2 

(mod /?) 

Or, c(^''^^^2=c (mod/7) 

5 Par consequent, le nombre : ^ = -^^(p+i)/2 (mod/?) est alors une 

solution a Tequation : jc^ = c (mod p). 
Io9o2o Cas p est comginui a 3 (m<D>dl 4) 
Selon le critere d'Euler, on a : 

^(p-i)/2 =1 (jj^Qj cequidonne, c^P^^^^^ =c (mod /?). 
10 Lorsque le nombre premier p est congru k 3 (mod 4), le nombre (p+l)/4 est 

entier ; par consequent, les racines carrees de c dans CG(p) sont alors 
±c^P^^y^ (mod/7). . 
2o_ Qiuidqiuies metttoodes de calciuiE prattiqipe 
2olo Algorittlhime d^EuicMde 
15 2ololo Coefficnennts de BesouHit eft pgcd 

Par definition, les coefficients de Bezout de deux entiers positifs xety sont 
deux entiers ^ et / definis de maniere unique par : 

0<*<y, 0</<jc et k.x-ly-±pgcd{x,y) 
(3 L'algorithme de division d'Euclide calcule les coefficients de Bezout de 

20 deux entiers positifs et leur plus grand commun diviseur. 

Soient deux entiers positifs xoly tels que x soit plus grand que 3^. Divisons x 
par y ^ la maniere d'Euclide pour obtenir un quotient q positif et inferieur 
ou egal a X et un reste r positif ou nul et inferieur a y. 

Soit, 0<y<x 

25 Par consequent, x~q.y'\-r avec 0<^<jc et 0<r<3; 

A partir des valeurs initiales Q = x et C, = y, considerons les divisions 
successives : 
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jusqu'a: Ci^i^qi^.Ci ou Q+i =0. 

Les quotients^-successifs forment la suite {q} qui est ainsi *^6fime pour les 
indices / allant dei^t k L. 

Les restes successifs forment la suite {C} qui est«^ainsii:.defiliieT poiir les 
indie^Szjj. allant de^!9 a L+L La suite {C} est strictement-^deGroissante de Q 
jusqu'a C^^, qui est nuL 

La suite { C] peut encore se definir de la maniere suivante. 

{C}={Co=:c; Ci=y\ puis, pour z allant de 1 a Z, C^+i = Q_i -g^^-.Q} 

Definissons maintenant deux autres suites appelees {A} et {5}. 

{a}- {i4o = 1; ^1 = 0; puis, pour / allant de 1 a Z, A^^^ = A^^i + q^.A^ } 
{b}= {5o = 0; jBi = 1; puis, pour / allant de 1 a L, B^^i s + } 

Les premiers^terraaesijdeJa suite {A} sont 

^(^^»^,^^ 0,^2 = \,Af^ q2.A^ = L+ q^^q^,.. 

=> La suite {A}iEest^straetement croissante^de^Aj.^ A^^^^^ 

Les premiers termes9SMi«^antSKde la suite^B }-^sont^v 

0, 1, 5^ = q,, B^ = 1 + , g„ ,„ 

=> La suite {8} est stmctement^croissante de a 5^^,. 

En eliminant q. entre les definitions des suites [A] et {C}, nous obtenons : 

Par consequent, la valeur de A^.C^^i + A^^i.C^ est constante pour / allant de 
OaL. 

Puisque Aq.C^ -K ^i-Cq = nous obtenons : ^x+i-^L " 
Et, de la meme maniere, ^l-^i-^l = ^• 

Par ailleurs, remarquons les egalit6s : x,Aq - y.BQ = x = (-l)^:^o 

x.A^-y.B^ ^-j^ = (-l)i,Ci 
Supposons la relation vraie pour les indices /-I et i ; puis, verifions qu'elle 
est vraie pour Tindice i+L 

= (x.^,_i - + qiXxA-yA) ^ ("l)'"^(Q-i -^y.C,) = (-D'^^C,.,! 
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Par recurrence, pour i allant de 1 ^ L, x^A^ - yB^ = (-l)' .Q 
En particulier, on obtient finalement : xAj^ - yB^ = (-1)^ .C^ 
Les coefficients de Bezout dexeiy sent 6gaux a et B^. 
Le plus grand commun diviseur de jc et est egal k 
5 Exempko Calculer les coefficients de Bezout de 10 103 et 63 659. 
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Les calculs sont plus simples que les explications. 

23 320 . 10 103 = 235 601 960 3 701 . 63 659 = 235 601 959 

23 320 . 10 103 - 3 701 , 63 659 = 1 
2olo2o Innversioim (mod n) 
10 L'algorithme d'Euclide calcule aussi I'inverse (mod jc). Bien entendu, la 

suite [A] est alors inutile. Lorsque y est positif, que x est plus grand que y et 
que x ei y sont premiers entre eux, c'est-k-dire, C^=pgcd(jc, y) = 1, les 
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notations « y'^ (mod x) » et « 1/y (mod x) » ont un sens. 

Lorsqu^-L estimpairv Fin verse de y (mod^) est 6gali^£l B^, 

Lorsque L est pair, I'inverse de y (mod jc) est^gat k x - 

Dans Texemple ci-dessus, 23 320 est r inverse de 10 lO3Xm0d*63 659). 

2.2. Charge de travail et methode des restes chinois 

La charge de travail pour « elever jc a la puissance v ieme (mod n) » 

depend de la valeur et de la forme binaire de Texposant v, de la taille de 

Targument x et de la taille du module /z. Dans le cadre de ce mdmoire, 

Texposant v est plus petit que le plus petit facteur premier du module n. 

L'utilisation des facteurs premiers p^, p^, ... d'un module n diminue la 

charge^^de^travaik'pour calculer <m0d n). Plutot que i^ropixfation directe 

« elever a la puissance v ieme (mod n) », on peut avantageusement Clever 

JC ^ la puissance v ieme dans chacun des corps CG(pj), CG(p^X ... c'est-Jl- 

dire, (mod Pj), (mod ... puis, etablir le resultat dans Tanneau Z„, c'est-^- 

dire, (mod n ^ p^ fois fois ...). Cette maniere de proc^der est appelde la 

« methode des restes chinois. » 

2.2.1. Multiplication et carre (mod n) 

En pratique, avec des progranmies optimises, le rapport entre la charge de 
travail pour un « carr6 modulo » et la charge de travail pour une 
« multiplication modulo » est environ 0,75. Par exemple, sur le composant 
ST 16601 pour carte a puce, avec une horloge normalis6e k 3,579545 MHz, 
le carr6 modulo pour 512 bits se fait en 150 ms et la multiplication modulo 
en 200 ms. 

Pour effectuer une operation « multiplication modulo- », on peut multiplier, 
puis, reduire : 1' operation de multiplication demande^a peu prds autant 
d'effort que I'op^ration de r^ductioni^modulo. 

La multiplication de deux nombres de 512 bits peut se ramener des 
multiplications de nombres de 256 bits. Chaque nombre de 512 bits s*ecrit 
alors a+2^^.6 o\x a otb sont des nombres de 256 bits.- La multiplication de 




a+2 .b par c+2 .d amene k calculer les quatre produits a.c, a.d^ b.c et b,d. 
En doublant la longueur, on multiplie par quatre la charge de travail pour 
multiplier, Le carre de a+2^^ft amene a calculer les deux carres a^, b^ et le 
produit a.b. En doublant la longueur, on multiplie par trois la charge de 
travail pour Clever au carr6. 

De meme, la multiplication de deux nombres de 512 bits peut se ramener a 
des multiplications de nombres de 171 bits. Chaque nombre de 512 bits 
s'ecrit alors a+2'^'.fc+2^*lc 6u a, b ct c sont des nombres de 171 bits. La 
multiplication de a+2"^fe+2^'*^c par <i+2*^'.^+2^^\/ amene a calculer neuf. En 
doublant la longueur, on multiplie par neuf la charge de travail pour 
multiplier. Le carre de a+2"*.fc+2^'*^,c amene a calculer trois carres et trois 
produits. En doublant la longueur, on multiplie par six la charge de travail 
pour elever au carre. 

2«2o2o Elever x a la, pmssaimce v aeme (mod im) 

Prenons en exemple la valeur v = 3, puis, la valeur v = 65537. 

Pour V = 3, c'est-a-dire, 2+1, il faut Clever Targument au carr6 (mod n), 

puis, multiplier le resultat par T argument (mod n). 

Pour V = 65 537, c'est-^-dire, 2'Vl, il faut Clever Targument au carre 
(modn) seize fois de rang, puis, multiplier le resultat par I'argument 
(mod n), 

2.23. Metlnodle des restes cMmoas 

Lorsque x et y sont deux entiers positifs premiers entre eux, les calculs 
suivants transforment une representation k une composante (mod x.y) en 
une representation a deux composantes (mod x) et (mod y). 

= (mod x) et = a^^ (mod y) 
Voyons maintenant comment realiser Toperation inverse, c'est-^-dire, 
conunent calculer la representation k une composante (mod x.y) coimaissant 
la representation a deux composantes (mod x) et (mod y). La technique 
ddcrite ci-dessous est connue comme la « methode des restes chinois. » 
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Supposons X plus grand que y. Tout d'abord, reduisons x (mod y), puis, 
inversons le resulfatll^niod y). 

A= {x (mod y)}'^ (mod^>) 
Erisuite, reduisons la composante (modfy). 

a'^ = a^(mody) 

Le resultat cherch6 s'obtient alors par Tune des deux formules suivantes. 
Lorsque est superieur ou egal k a \, 

= • (S (mody)}.x + a 

Lorsque est inf^rieur a 

= ■ («^ + y -a',) (mod y)}.X'ha^ 
DsEns Je eadire de ee m6moire, I'exposant^ v est plus petit que le plus petit 
facteur premier du module n. II n'y a done pas^^donc^de reduction de 
I'exposant v en fonetion des differents ^facteurs preniiers du modu n. Par 
rapport au calcul direct't de « elever jc a la puissance v ieme (mod n) » ou 
r argument X et le module> n ont la meme taille^^ la methode des restes 
chinois divise la charge* de**travail«*. 

- par deux lorsque le module n a deux facteurs premiers /?, et de meme 
taille, 

- par trois lorsque le module n a trois facteurs premiers pp et p^ de meme 
taille, 

et ainsi de suite. 

On peut generaliser la methode precedente ; ainsi, la procedure suivante 
calcule x" (mod n) pour un exposant v = 2' +v,_,.2'"* + ... vi.2 + vo mX chaque bit 
de V. . k v„ vaut 0 ou L 

1 . Donner ky la. valeur x, 

2. Rdp6ter la sequenee«suivante pour /: allant de i— 1 k 0. 

Remplacer y par y^ (mod n). 

Si le bit vaut 1, remplacer y par (mod n), 

3. Le resultat cherche est y. 
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Selon la procedure precedente, le calcul peut se faire par log^Cv) carr^s (mod 
n) entrelaces avec h(v) multiplications (mod n). La notation h(v) repr6sente 
un de moins que le poids de Hamming de v, c'est-a-dire, que Tecriture de v 
en binaire comporte h(v)+l bits a 1. 

Pour un module n de 512 bits, cela signifie log2(v) carres (mod n sur 512 
bits) et h(v) multiplications (mod n sur 5 1 2 bits). 

Pour un module n de 256 bits, cela signifie log^(v) carres (mod n sur 256 
bits) et h(v) multiplications (mod n sur 256 bits). 

Pour un module n de 171 bits, cela signifie logj(v) carres (modn sur 171 
bits) et h(v) multiplications (mod n sur 171 bits). 

2o3o Calcuiil dim symlbolle de JacoM 

Le calcul du symbole de Jacobi d'un entier positif k par rapport h un entier 
positif impair n plus grand que k se deroule selon la procedure suivante qui 
utilise cinq variables appel6e x, y, z, e et J. Cette procedure n'utilise pas la 
decomposition de n en facteurs prennders. 

o La variable x est positive et impaire, strictement decroissante a partir 

de la valeur initiale n. 
o La variable y est positive et inferieure h jc, strictement decroissante k 

partir de la valeur initiale k. 
o La variable z est positive, impaire et inferieure a y. 
o La variable e est I'exposant du facteur 2 extrait de y. Seule sa parite 

doit etre evaluee. 
o La variable J vaut +1 ou -1 en partant de la valeur initiale +1. 
Calcul pratiqee de (^ 1 n) avec k positif ett n impair et pMs graimd qime k 

1 . Donner a x la valeur n ; donner a y la valeur k ; donner k J la 
valexir+l. 

2. Decomposer y en z.2* ou z est impair et positif et e positif ou nul. 

(y U) = (z. r U) = (z I Jc) . (2 I xY 
=> Si e est impair et si jc = 3 ou 5 (mod 8), changer le signe de /. 
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3. Appliquer la loi de r^ciprocite quadratique sur z et jc qui sont tous 
deux4mpaiFS 

=»» Si x et-z = 3 (mod 4), changer4e sigmf vde^d^. 

4. -Reduire x qui est toujours^plus grand^'que z. 

Remplacery parjc(modz). 
==> Remplacer X par z. 

5. Si ;c est plus grand que 1 , revenir h Tetape 2. 

Si X est dgal k 1, alors le symbole de Jacobi vaut 7 et et n sont 
premiers entre eux. 

Si X est nul, alors le symbole de Jacobi est nul et le pgcd de A: et n 
est^^gal^^z. . 

Exemplesii, Caleuiail(d#*li03ffi| .6il65^)?*Q'est^4-dire»^ | F8AB) en 
notadon)Kh6x*adj§fi!m^ 

On retFGuve4estdi#si©iis*Siue®essi«Viestdel^^ ie calcul 

du pgg,#arLe ^dd^ala^f||^e|iliifn^^ 2. Le 

symbole <^ ^ ^> mateidaiisMe%hanggmentfdewsign^ : 
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Par consequent, (10 103 | 63 659) = -L 

2o4o Radiaes carrees smir le corps CG(p) 

Lorsque c^'^ (mod p) vaut +1, I'equation = c (mod p) a deux solutions 
dans le corps de Galois CG(p) ; ces deux solutions sont appel^es « racines 
carrees de c (mod p) ». 

lAAo Cas oe le uomlbire premier p est de la Itorme 4«5+3 

Ce cas est simple. Lorsque p est congru a 3 (mod 4), (p+l)/4 est un nombre 

entier ; les deux racines carrees de c (mod p) sont alors x = ±c^'^^ (mod p). 

2o4o2« Cas on le mombre premier p esU de la forme 41-^1 

II faut d'abord trouver une valeur convenable du parametre 5, c'est-a-dire, 

une valeur telle que A = S^-4.c soil un residu non quadratique (mod p). On 

ne connait pas d' autre fagon de proceder que par essais successifs. En 

pratique, on part de 5 = 1, puis, on fait croitre la valeur de 5. 

Puis, les relations suivantes sont utilisees pour calculer les suites [U] et { V} 

ensemble. 

Pour doubler I'indice, W2.1 = w^.v^; V2./ = vf - 2.c' 

Pour ajouter 1 a Tindice, u^^^ = (Sm^ + v,.)/2; Vy+i = (A.w,- H-iS,v,)/2 

La procedure utilise trois variables : x pour y pour v et z pour c . L'indice 
cible est (p+l)/2 ; il est code par une sequence de j bits. Cette sequence est 
examinee du bit de poids fort au bit de poids faible. 

1 . Donner a jc la valeur 0 ; donner a y la valeur 2 ; dormer a z la 
valeur L 

2. Rep6ter j fois la sequence suivante. 

Remplacer x par x.y (mod /?). 
Remplacer y par y^- 2.z (mod p) 
Remplacer z par z^ (mod /?). 



74 



Si le j ieme bit codant Tindice cible vaut 1, ex6cuter la 
sequ^nee*sii&vainte; 

Remplaee^^/ par#j«?. 
Remplaoer x par45.r + y;^2 (mod^p), 
Rgmplacer y par (5./ + L.y)l2 (mod /?) 
Remplacer z par z,c (mod p). 
3, Remplacer y par y2 (mod p). Le resultat cherche est y. 
2,5. Carre et racine carree dans Q„ 

Dans ce paragraphe, le module n est le produit de deux facteurs premiers 
et p^ congrus k 3 (mod 4). Dans ce cas, (p,+l)/4 et {p^+\)fA sont des 
nombres entiers. 

D^fiMssonsMa^notatiohi^^ calculer 
noimal^m©nt*l@*resuMt«?:0(^ garder^^: oujirf-^jcrle-plus petit des 

L6rsqu^jiile»m©di»lel|n <est*^le*pr0diifit«rdemdeu?£-^^^^^ p^ et p^ 

congrus a 3 (m©d^4-)|ld^fiMiss©ns3la^nQtatd^^^ Q„^>^- CJtest T ensemble des 
eldments*dell4ahneau*rde^s*entie'r^ n/2 et dont 

le symbole de Jacobi par rapport a n vaut +1. L'ensemble a une structure 
d'anneau. 

Considerons une premiere transformation ddfinie par « elever un element x 
de au carre (mod* n) ». Le resultat y appartient egalement a Q^. 

y^x^ (mod * n) 

Considerons une deuxieme transformation d^finie par « elever y k la 
puissanee^(p,sf^l*)/4'-^(m0d«^i)V>>, puis?*r« eleVer* y la puissance^ (p2+l)/4 
(modpj) »y avant d'utiliseF4a metJT@dewdes reste chinois-^pour ^tablir le 
r6sultat«^z (modiSfh)? Lorsque*^p, est«plusiapetit» quevp^,^ leswealeuls sont tr^s 
precisement les suivants. 

y^^yimodpO\ z^^ yl^'^^^^"^ {mod p^ 
y2 =y(modp2); = jj/^^^+D^^ (jnodp2) 
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z'sz2 (modpi); Si Zi>z\ z"=zi-z'; Sinon, z"=^zi + pi-z' 
^={p2 (modpi)}'^ (modpi); 
zi2=\^-z" (mod pi)}p2+Z2; zsrj2 (niod*w) 
Ces deux transformations sont inverses I'une de I'autre. Lew produit est 
I'identite parce que le r^sultat z r6tablit le nombre x de d6part. Ce sont deux 
permutations, inverses Tune de I'autre, des el6ments de 
La premiere permutation calcule « le carrd y dans Q„ de I'^l^ment x de 
Q. »• 

La deuxieme transfonnation calcule done « la racine carree x dams de 
Telement y de ». 

Par la suite, on aura besoin de la « k ieme racine carree de y dans Q^, » 
c'est-^-dire, de la solution x dans a Tequation : 

y = x (mod*«) 

Plut6t que d'extraire k racines carrees de rang dans il vaut mieux 
proceder « globalement » de la maniere suivante, Cette remarque fut faite 
en son temps par Oded Goldreich. 

y^^yimodp^); z = (/?i+l)/4; / = (mod -1); = y{ (modpi) 
y2=y(modp2)\ z = (/72+l)/4; t = (mod P2-1); X2=y2 (mod/72) 
x'=X2 (modpi); Si Xi>x\ x"=xi~x\ Sinon, x"=xi+/7i-x' 
^ = {P2 (mod/7i)}~^ (mod/7i); 
xj 2 ^ {i'X" (mod /?i )}/?2 + ^2 ^ ^ - ^1,2 (mod * n) 
2.60 Nombres de Williams ett Raciime carree de 4 daims 
Hugh C. Williams a decouvert Tinteret cryptographique des modules n, 
produits de deux facteurs premiers et p^ tels que p^ soit congru k 3 (mod 
8) ci p^kl (mod 8). 

Lorsque le module n est le produit de deux facteurs premiers p^ et p^ tels que 
p^ soit congru ^ 3 (mod 8) et a 7 (mod 8), on obtient (2 | p,) = -1 et (2 | 
P2) = +1> c*est-a-dire que 2 est un residu non quadratique (mod/?,) et un 
residu quadratique (mod p^) ; done, ni 2 (mod n), ni -2 (mod n) 
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n'appaitiennent h Q^. 

Par la suite, a denotera la racine carree de 4 dans. Cette racine est 
representee par les composantes : a, = -2 (mod^ /?,) et (X^^ 2 (mod p^) on 
bien^ par a, = 2(mod p,) et -2 (mod p^) i c'est Tel^ment dont la 
representation (mod n) est plus petite que n/2. 
II y a alors equivalence entre 

la connaissance du nombre aet 

la connaissance de la factorisation du module n. 
Demonstration. 

D'une part, etant donne a, le module n divise o^-4 ; mais le symbole de 
Jacobi de a par rapport h n vaut -hi alors que celui de 2 vaut -1 ; le module 
n ne divise done-ni a-2, ni a+2. Par consequent, le facteur premier est le 
plus grand commun diviseur de n et a-2 \ le facteur premier /?, est le plus 
grand commun-diviseur de n et 

D'autre^part; etant^donnes les facteurs premiers p, et p^, la racine carree de 4 
dans Q„ est representee par les composantes : cir,= -2 (mod p,) et = 2 
(mod pj);, ,pu bienr a, = 2 (mod 4?,)iet = -2 (mod p^). Selon les restes 
chinois, on reconstruit a. 

Shafi Goldwasser, Silvio Micali et Ronald Rivest ont introduit la paire de 
fonctions {F^ ; F, ) sur Q^. 

Fo(jc) = X (mod* n) et F,(;c) = 4 jc^ (mod* n) 
Cette paire de fonctions permute les elements de Q^. 

Une « collision » est definie par deux elements jc et y de Q„ tels que V^ix) = 
Fj(y). Connaitre une collision equivaut ^ connaitre les facteurs premiers du 
module n. La demonstration est semblable a la demonstration ci-dessus. Par 
consequent, cette -paire de permutations jesiste aux collisions pour qui ne 
connait pas les facteurs premiers p, et p^ du module n. 

Nous disposons done de tous les ingredients necessaires ^ une 
demonstration de la connaissance de la factorisation d'un module public n 
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sans en transferer la connaissance. 

DeiiBMeme parttne t mmavesm procede 
lo Expose dun nnouEveaimi proccM© 

Le pTOc6d6 est destine k prouver Torigine et Tint^grite d'un message 
numerique m, lequel message peut etre vide. Ce proc6d6 permet 
Tauthentification d'entit6, Tauthentification de message ou la signature de 
message. 

lolo Paramettres 

Le precede met en uuvre un premier ensemble de nombres entiers, a savoir, 
au moins deux facteurs premiers notes par p^ ... Certains facteurs 

premiers peuvent apparaitre plusieurs fois. Le produit des facteurs premiers 
forme un module public ^ =p, . (. ...)• 

un jeu de « parametres des restes chinois » not6s.yl, .... II y a un 

parametre de moins que de facteurs premiers. 

Attention, il y a plusieurs jeux de parametres « Equivalents. »Supposons 
que 

les grands nombres premiers sont ranges dans I'ordre croissant, 
s'il y a trois nombres premiers, est plus petit que fois p^, 
s'il y a quatre nombres premiers, p^ est plus petit que /?, fois fois Pj, 
et ainsi de suite. 

Dans ce cas, voici un exemple de jeu de parametres des restes chinois. 

K = (P2 (mod Pi))"^ (mod p^) 
-((Pi-P2 (inod P3))"^ (mod P3) 
^=((Pi-P2-P3 (mod P4))"^ (mod p^) 
Et ainsi de suite. 

Le procede met en uuvre un deuxieme ensemble de nombres entiers, k 
savoir, au moins un exposant public de verification not6 par v, et, pour 
chaque exposant v, au moins une paire de cl6s selon la presente invention 
comprenant une cl6 pnv6e not6e par Q et une cl6 publique not^e par G. Une 
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des deux relations suivantes lie chaque paire de cles selon la presente 
invention par les nombres v et n. 

GQ^ = 1 (mod Yi) ou bien G^Q"" (mod ri) 

En r absence de toute ambiguite, en particulierv s'il y a un seul exposant 
public de verification v, on utilise la notation (G, 2), puis, si besoins est, 
(GA, QA\ (GB, QB\ {GC. QC), ... 

Avec plusieurs exposants publics de verification vx vy vz on utilise en 
outre la notation (Gx, Qx\ (Gy, Qy), ...» puis, si besoins est, (GxA, QxA), 
(GxB, QxB\ ... {GyA, fiyA). (GjB, QyB\ ... 

En pratique, chaque cle privee Q n'est jamais utilisee telle quelle. 

On utilise, uniquement un jeu de composantes. Q^^ Qy une 
composante par facteur premier. 

Qi=Q (modpi); Qz^Q (modps); Q3^Q (mod/73); 

et ainsi de suite. 

Par la methode des restes chinois, on pourrait retablir chaque cle privee Q a 
partir du jeu de composantes En pratique^dl n'y a jamais lieu 

de retablir les eles privies Q, 

Qa ^Qi (modpi); 

Si Qi>Qa. Qa=Qi-Qa'. Sinon, QI =Qi'^Pi-Qa'. 

Qia^^a-Qa (mod Pi)}p2+Q2^^ 

Qb ^Qia (modp3); 
Si Q3>Qt. Ql^Qs-Qb'^ Sinon, 06=03 + ^3-^6; 
Si;2,3 = Qb (mod^p^^ipi ,P2 + a,2 ; 
Et ainsi de suite. Q est 6gal k Q\^2X 
1.1.1. Paire de cles selon la presente invention conferant une securite 
equivalente -a la connaissance la cl^ privee Q ' 

Les composantes ... sont des nombres pris au hasard tels que 

0 < < /?p 0 < 0j < p^. 0 < < II y a une composante par facteur 



premier. En pratique, pour reduire la charge de travail, on choisit des 
composantes « courtes », c'est-a-dire, de I'ordre de grandeur de la 
racine troisi&me ou quatxieme du facteur premier p^. 

Notfio L'ensemble de ces composantes represente une cl6 priv6e Q. La de 

pirSve(S Q unrest jamais BtiMsee teEe qimelleo 

Qa ^Ql (modpi); 

Si a>e;, sinon, e;=a+/7i-G^; 

Qia-^a-Qa (mod a)|p2+G2; 

Qb =2l,2 (mod/73); 

Si Q2>qI Ql^Q2-Qb\ Sinon, qI^Q^-^ P2'QI\ 
- W 'Qb (mod P2)]pi .P2 + Qhi ; 
Et ainsi de suite. Q est egal h 1^1,2.3,... 
La cl6 publique G est la puissance v ieme de Q (mod n) ou bien son inverse 
(mod n). 

G^Q" (mod n) ou bien G s { (mod w) (mod n) 

NottCo En pratique, pour calculer le nombre G, on 61eve chaque nombre Q, a 
la puissance v i^me (mod /?.), ... , puis, on utilise la methode des restes 
chinois pour etablir le resultat (mod n) ou son inverse (mod n). 

Gi^Qi (modpi); 
G2-Q2 (modp2); Ga =G2 {modp{)\ 
Si Gi > g; =Gi -G>, Sinon, G^ = Gi + p^ -G^; 
<^i.2=i^a <^a (mod /7i))p2+G2; G^ =Gi^2 (modpg); 

G3 =^3^ (mod/73) 
Si G3>G^, g; =G3-Gi; Sinon, G^ = G3 + ^3 -G^; 

^1,2,3 ^W'^b (mod P3)jpi P2 + <^l,2; 

Et ainsi de suite. G est ^gal k G^ 2,3,... ou bien, k son inverse (mod n), 
Lorsque le nombre entier v est premier, on assure la propri6t6 de s6curit6 
annonc6e. 
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1.1.2. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 

L*exposant public de vdrification v est 6gal h, 2*. Le nombre entier k est un 
parametre de security plus grand que 1. La valeur /: = 1 est interdite. 
Chiaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p, T equation x=g (mod p) n'a pas 
de racine en x dans CG(p). 

Note. Cette construction assure que le nombre g est un r6sidu non 
quadratique (mod n). 

Note. En pratique, on utilise pour g les nombres 2, 3, 5, 6, ... en eliminant 
bien s»r les carrds tels que 4, 9, ... 

Note. II n*est pas recommand6 d'utiliser 6 en meme temps que 2 et 3 parce 
qu'ils se combinent par multiplication. On dit qu'ils ne sont pas 
« independants. » II vaut mieux utiliser 2 et 3 et « laisser tomber 6. » 

Pour chaque nombre la cle publique G est egale k g. 

Pour chaque nombre chaque composante ... est la k ieme 

racine carree de G dans CG(p) qui est un residu quadratique dans CG(p). II 
y a une composante par facteur premier. 

Exemple de calcul de la k ieme racine carree quadratique de G dans CG(p) 
On pourra utilement consulter I'appendice 3, « Quadratic Residues », pp. 
278-288, dans Touvrage « Prime Numbers and Computer Methods for 
Factorization », Hans Riesel, Birkh%ouser, Boston, Basel, Stuttgart, 1985. 
Pour chaque facteur premier p congru a 3 (mod 4), on dl^ve k fois de rang G 
h la puissance (p+l)/4 pour obtenir la k ieme racine carree quadratique de G 
dans le corps CG(p) ; puis, on inverse ou non le r^sultat (mod p) pour 
obtenir la composante Q. pour le facteur premier p.. 

Note. Plutot que d'extraire k racines carrees successivement, on pent 
proc6der de maniere globale. 
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x = (p + V)/4; y = x^ (modp-1); z = p-l-y, Qp=G' (mod/?); 
par consequent, /»divise G.Q^ -1. 

ou bien, 

x = (p + l)/4; (modp-1); z = y; Qp=G' (mod/?); 

par consequent, /ydivise -G. 
Pour chaque facteur premier p congru h. 1 (mod 4), on utilise les suites de 
Lucas pour extraire les racines carrees successives, jusqu'k obtenir la k idme 
racine carree de G dans le corps CG(p), avant d'inverser ou non le resultat 
(mod p) pour obtenir la composante Q^ pour le facteur premier p.. 

Par consequent, /?divise G.Q^ -1 oubien, gj" -G. 
Les cles G et Q sont deux residus quadratiques (mod «). La paire de cies 
selon la presente invention verifie I'une des deux relations suivantes. 

G.Q = 1 (mod n) ou bien, sG (mod n) 

-ExempJes de paires- de clis selom la presenile nmvemitiom et die comtraiinittes 
sur les ffacteniirs premmiers 

On pent utilement consulter le chapitre 3, « Quadratic Residues », pp. 35- 
46, dans I'ouvrage « Introduction to Number Theory », Hua Loo Keng, 
Springer Verlag, Berlin, Heidelberg, 1982. 

❖ (2 \ p) = +l lorsque p est congru k ±1 (mod 8). 
(2 \ p) = -1 lorsque p est congru k ±3 (mod 8). 

Pour utiliser g = 2, c'est-^-dire, la cle publique G = 4, il suffit qu'un 
facteur premier soit congru h ±3 (mod 8). Alors, le nombre 2 est un 
residu non quadratique modulo n. 

❖ (3 \ p) = +1 lorsque p est congru k ±1 (mod 12). 
(3 I p) = -1 lorsque p est congru a ±5 (mod 12). 

Pour utiliser g = 3, c'est-^-dire, la cie publique G = 9, il suffit qu'un 
facteur premier soit congru k ±5 (mod 12). Alors, le nombre 3 est un 
residu non quadratique modulo n. 
Le nombre g = 4 est un carre ; il n'est done pas utilise. 
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(5 I p) = +1 lorsque p est congru k ±1 (mod 5). 
(5 I py^^\Aovsi3^mp %sUQon 

Pour utiliser g = 5, c*est-a-dire, la el6 publique = 25, il suffitqu'un 

facteur premier soit congru k ±2 (mod 5). Alors, le nombre-S est un 

residu non quadratique modulo n. 
❖ (6 I /?) = +1 lorsque p est congru a ±1 ou ±5 (mod 24). 

(6 I /?) = -1 lorsque p est congru a ±7 ou ±1 1 (mod 24). 

Pour utiliser g = 6, c'est-k-dire, la cle publique G = 36, il suffit qu*un 

facteur premier soit congru a ±7 ou ±1 1 (mod 24). Alors, le nombre 6 

est un residu non quadratique modulo n. 

(7 I /?) = +1 lorsque p est congru k ±1, ±3 ou ±9 (mod 28). 

(7 ^1 p)~ —1 lorsque. /?^esfcconggU'^a ±S;r±l 1 ou»±13 (mod 28). 

Pdiir#uti»M^r#g.^^ c'est-^a-diife;?fla cl6 publiqup G = 49, il suffit qu*un 

fatteiu-#p^€imi€sr#soit'?^cong5ii»k^^ le nombre 7 est un 

residu non qu^dratdqujeimodullofn^ 
Note;^^^TSas*lesfttem0ins*peuvent utiliSir^^^^ devcl6s-publiques GA, 

GB.MjG^GD'^... , paT'-'exemplei 4,^,*25*^^^ contraintes 
616mentaires sur la selection des facteurs premiers. Ces contraintes sont 
pratiquement gratuites lorsqu*elles sont integrees aux procedures de 
production des facteurs premiers. 
1.1.3. Generalisation de la structure precedente 

Le nombre a est un nombre impair. II doit diviser au moins un facteur 
premier moins un. 

Note. En pratique, on donne au nombre a les valeurs des^nombres premiers 
k partir de 3, soit : 3, 5, 7, 11, ... 

L'exposant public de-verification v est egaksl a . Le nombre entier k est un 
paramStre de s6curit6 plus grand que 1. La valeur /: = 1 est interdite. 
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Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p tel que a divise p-l^ T equation 
x'^ g (mod p) n'a pas de racine en x dans CG(p). 

Noteo Cette construction generalise les residus non quadratiques (mod n). 
Par exemple, dans le cas a = 3, on dit que le nombre g est un r^sidu non 
cubique (mod n). Dans le cas g6n6ral, on parle de residu non a dique (mod 
n). 

Noteo En pratique, on donne au nombre g les valeurs 2, 3, 4, 5, ... en 

eliminant les puissances a iemes. 

Pour chaque nombre g, la cl6 publique G est egale a 5^ 

Pour chaque nombre g, chaque composante ... est la k ieme 

racine a ieme de G dans CG(p) qui est un residu a dique dans CG(p). II y a 
une composante par facteur premier. 

Exemple de calcul de la k ieme racine troisieme de G dans CG(p) qui est un 
residu cubique dans CG(p). 

Pour chaque facteur premier p congru a 2 (mod 3), on eleve k fois de rang G 
k la puissance (p-2)/3 pour obtenir la k ieme racine a ieme de G dans le 
corps CG(p) ; puis, on inverse ou non le r^sultat (mod p) pour obtenir la 
composante Q. pour le facteur premier p.. 

Noteo On peut proceder de maniere globale pour acceder directement au 

resultat cherch^. 

x = (/?-2)/3; >^ = x* (mod/7-1); 2 = :^; Qp^G^ (mod p); 

par consequent, /? divise -G. 

x = {p-2)/3; y^x^ (modp-l); z = p-l^y; Q^^G^ (mod p); 

a* 

par consequent, p divise G.Qj, -1. 
Pour chaque facteur premier p congru a 1 (mod 3), 

/? divise G.gJ" -1 oubien Q^p ^G, 

lo2o EmtSttes 
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Le procede met en uuvre les trois entites suivantes. 
Une premiere entity t^moigne ;-elleAStappel6e temoin.^^ 
Le t^moinf^dispose^d'au moins deux fae^^^ MiKP^^'- 
temoin^dispose egalemenfei(d'unwjeu<isde«^^^^^ 

... ; chaque param&tre peut etre**ealcul6 a Tavanee ou^bien r6tabli k 
chaque appel au t^moin, selon les compromis en termes de calcul et de 
memoire. 

Le temoin dispose de I'exposaht public de verification v, 

Le t6moin dispose egalement d'au moins un jeu de composantes QA^ QA^ 

QA^ QBj^ QB^ QB^ ... ; chaque composante peut etre calcul^e k 

Tavance ou bien retablie h chaque appel au tdmoin k partir des cl6s 

publiqmsmG^^GBI^S... ettiides^faeteursji^piiemieiJSWjPii^^ p^^^^ ... selon les 

compromisteniteiimesideiealjiul^^^^ 

N5tesiiiX}fSqji||jjp^^ priv6e 
Q.'Claqi^^p^aireidetig^l^sSse^ et 
n par#l' uneidesi;deux%Felati0n^^ 

Note. Le temoin n'utilise ni le module public n, ni la cle privee Q. 
Une deuxieme entite pilote le tdmoin. 

S'il s'agit d'une authentification, c'est-a-dire, d'une preuve interactive de 
connaissance, 1' entite qui pilote le temoin est appelee demonstrateur. 
En cas d' authentification d'entite, le demonstrateur n'a pratiquement rien k 
faire. 

En «cas -d'authentifiGati0n'-*de-^^messaget^ le demonstrateur-^-dispose^d'une 
f onction de haehage f . 

S'tl s'agit d'une signature»num6rique de message, c'est-^-dire, d'une preuve 
non nnteraetive-de comiaissanGg^,|jl'enti^^^^ qui pilote^ ;le l^mpin est appelee 
signataire ; le signataire dispose de Texposant public de verification v et 
d'une fonction de hachage f. 
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Une troisieme entite verifie ; elle est appelee coimltirolmr, Selon le cas, le 
controleur verifie rauthentification ou la signature ; il dispose du module 
public n, de Texposant public de verification v, des cles publiques GA, GB, 
... et de la fonction de hachage ff. 

^lo3o Etopes 

Le procede comporte les etapes suivantes. 

Etape io Engagement du temom 
o A chaque appel, pour chaque exposant public de verification vx vy 
le temoin tire au hasard et en prive au moins un jeu de nombres entiers : 
pour chaque facteur premier p,, chaque jeu comporte un nombre entier r. 
positif et plus petit que p^, Ces nombres entiers sont ensuite appel^s les al6as 

^1 ^2 ^3 

0<ri<pi; 0<r2<P2\ ^Kr^Kpy, ... 
o Pour chaque exposant public de verification vx vy_ vz et pour chaque 
facteur premier p., le temoin eleve chaque alea a la puissance v ieme (mod 

Ri^r^ (modpi); R2=r2 (mod/72); ^3 = W (modpg); 
° Puis, le temoin etablit chaque engagement R (mod n) selon la m6thode des 
restes chinois, 

Ra'=R2 (modpi); 
Si Ri>R^\ R^"=R^-R^'; Sinon, i?^"= i?i + 
^1,2 = {^a J^a" (mod pi)}p2 +/?2; Rb ^ ^1.2 (mod P3); 
Si R2>rI, Rl=R2-Rt; Sinon, i?i = /?3 +/^3 -^i; 
^1.2,3 (mod P3)jpi P2+^i,2; 

Et ainsi de suite. R est dgal a i?j 2 3 
Pour chaque exposant public de verification vx vy vz il y a autant 
d' engagements R que de jeux d'aleas r, ... 
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Etape 2. Defi au temoin 

En cas d' authentification d' entity, 

le ddmonstrateur transmet tout ou partie*de ehaque ^engagement i? au 
controleur ; 

aprfes^avoir regu tout ou partie de chaque engagement R, le controleur 
produit au moins une sequence de nombres de 0 ^ v-1 pris au hasard. 
En cas d*authentification de message, 

le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton 
T a transmettre au controleur, 
apr&s avoir regu le jeton T, le controleur produit au moins une sequence de 
nombres de 0 k v-1 pris au hasard^^sa*. 
En cas^-de signature-ilum^rique de message, le signataire applique une 
fonction de hachage f ayant comme arguments le message m et chaque 
engagement U pour^obtenir au moins une sequence de nombres de 0 ^ v-1. 
Dans les trois cas, pour chaqup exposant public de verification vx vy vz 
chaque sequence comporte autant de^nombres de 0 ^ v-1 qu'il y a de paires 
de cles selon la presente invention ; dans chaque sequence, les nombres sont 
notes par dA, dB, ... Chaque sequence de nombres de 0 ^ v-1 est ensuite 
appelee defi d. Pour chaque exposant public de verification vx vy vz il y 
a autant de defis d que d' engagements R. 

Etape 3. Reponse du temoin au defi 
• Pour chaque exposant public de verification vx vy vz pour chaque 
facteur premier-yp?; le temloin^calcule- ' 

la puissance dA ieme de la composante QA^ (mod /;.), 
la puissance dB idme de la composante QB. (mod p.), 

le produit des resultats precedents par Talea r. (mod p.) ; 



• /djjjf^Bk 



A =r^^QAf^.QBf... (mod pj); D2 ^r2.QAf.QBf... (modp2); 
- D^^r^.QA^.QBf ... (modps); 
' o Puis, pour chaque exposant public de verification vx vy vz le t6moin 
6tablit au moins une reponseD (mod n) selon la m^thode des restes chinois. 

(modpi); 

Si Di>dI,, dI^Di-D^; Sinon, = Di-^ pi^D^; 

Di 2^^a^a (mod /?i)|p2+^2; 

-A.2 (modp3); 
Si D^>dI, dI^D^'D^; Sinon, D;=D3+/73-D^; 

A,2,3 = K A (mod Ps) jpi.p2 + A.2i 
Et ainsi de suite. D est 6gal ^ A.2,3 ... 

Pour chaque exposant public de verification vx vy vz il y a autant de 
r^ponses D que de defis d. 

Notee Chaque appel au temoin se traduit k T interface par autant de triplets 
{R, d, D} que de jeux d*aleas ^3 .„ Remarquons qu'en ^levant la 
reponse I? ^ la puissance v ieme (mod n), on doit retrouver T engagement R 
divis6 ou multipli6, selon T equation retenue pour lier les paires de cl6s 
selon la pr6sente invention aux nombres v et n, par la puissance dA ieme de 
GA, la puissance dB ieme de GB, ... Par consequent, chaque triplet {Ey d, 
D] doit verifier Tune des deux relations suivantes. 

R^GA'^.GB'^. ... D"" (modn); 
ou bien R GA'^.GB'^^ , ... = D"" (mod rt); 
Eltape 4o Doranees desttiiniees aiB ccmnltirolleiuir 
En cas d'authentification d'entite ou de message, le demons trateur transmet 
chaque r6ponse D au controleur. 

En cas de signature numerique de message, le signataire transmet un 
message signe au controleur. Le message signe comprend le message ot, 
ainsi que : 

* chaque defi d ou chaque engagement Ry 
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* chaque reponse D. 

EtapeS. Verification exercee par le controleur 
Note. On aurait pu tester ici le symbole de Jacobi de chaque reponse, a 
condition d'avoir forc6 le symbole de Talea k Tetape I. Cependant, il vaut 
mieux « laisser tomber les symboles », II est bien plus ^conomique 
d'accepter de perdre un bit de defi. 

Note. L*une des deux relations suivantes reconstniit un engagement note 
parl?\ 

;?'=(G^^.G5^^. ...)Z>'' (mod«); 
oubien i?'=DV(G^^.G5^, ...) (mod«); 
En cas d'authentification d'entit^, le controleur doit appliquer la formule 
appropri^e pour reconstruire chaque engagement 1?' : aucun ne doit etre nul. 
Chaque engagement reconstniit R' doit reproduire Tintegralit^ des donnees 
transmises a T^tape 2, c'est-a-dire, tout ou partie de chaque engagement R, 
Lorsque toutes les conditions sont remplies, Tauthentification d'entit6 est 
reussie. 

En cas d'authentification de message, le controleur doit appliquer la 
formule appropriee pour reconstruire chaque engagement : aucun ne doit 
etre nul. Puis, il doit appliquer la fonction de hachage f ayant comme 
arguments le message m et chaque engagement reconstniit R' pour 
reconstruire le jeton T\ Le jeton reconstniit T' doit etre identique au jeton T 
de Tetape 2. Lorsque toutes les conditions sont remplies, Tauthentification 
de message est reussie. 

En cas de signature num^rique de message, selon le cas, 

• le controleur doit appliquer la formule appropride^pour reconstruire 
chaque engagement R^ : aucun ne doit etre nuL Puis, il doit appliquer 
la fonction de hachage f ayant comme arguments le message m et 
chaque engagement reconstniit R ' pour reconstraire chaque d6fi d\ 
Chaque ddfi reconstmit d' doit etre identique au d6fi d figurant dans 




le message sign6. Lorsque toutes les conditions sont remplies, la 
signature est correcte. 
o le controleur doit appliquer la fonction de hachage IT ayant comme 
arguments le message m et chaque engagement R figurant dans le 
message signe pour reconstruire chaque d6fi d\ Puis, il doit 
appliquer la formule appropriee pour controler la coherence de 
chaque triplet {R, d\ D). Chaque triplet doit etre coherent. Lorsque 
toutes les conditions "^sont remplies, la signature numerique est 
correcte. 
2o Triplelts 

Chaque appel au temoin se traduit par une collection de triplets a Tinterface 
du temoin. Chaque triplet {/?, d, D} comprend un engagement R, un defi d 
et une reponse D. II y a deux manieres de produire des triplets : une maniere 
de produire en prive et une maniere de produire en public. 

o Le temoin produit en pnv6 selon la chronologic suivante : h, chaque 
appel, il fixe d'abord un nouveau jeu d'aleas qu'il transforme en un 
engagement R, puis, il produit la reponse D a nMmporte quel d6fi d 
deOa v-1. 

o N'importe qui peut produire en public selon la chronologic suivante : 
quel que soit le defi J de 0 a v— 1, n'importe qui peut completer le 
triplet a partir de n'importe quelle reponse D en etablissant 
I'engagement R gr,ce aux nombres publics G, v et n. 

Par definition, deux triplets sont « en tenaille » lorsqu'ils sont constitues 
des deux reponses D et £* a deux defis d et e pour le meme engagement R, 
c'est-a-dire, {/?, d, D} et {/?, E). 

A chaque appel, le temoin est en position de produire des triplets en 
tenaille : il lui suffirait de reutihser un jeu d'aleas. Mais il se garde bien des 
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tenailles : en tirant au hasard un jeu d'aleas k chaque appel, il utilise en 
pratique chaque fois un nouveau jeu d'aleas. 

3.1. Paire de cles selon la presente inventioii confepant une^securite 
equivalente a la connaissance de la cle privee^^Q 

La connaissanc^ de deux triplets « en tenaille » equivaut k la connaissance 

de la cle privee Q. 

Demonstration. 

D'une part, le temoin se configure k partir des facteurs premiers p^ 
de la cl6 privee Q et de I'exposant public de verification v. Une fois 
configure, le temoin peut produire une tenaille : il lui suffit d'utiliser deux 
fois le meme jeu d*al6as. 

D'autre part, deux triplets en-tenaille se traduisent tpar^.les Equations 
suivantes : • 

D = r,Q^ '(mod «) et E = r.Q^ (mod avee 0<d<e< v 
Pai- consequent. El D^Q^ (modn^; avec 0<€-d<v 
Voyons comment calculer la c\€ privee Q ^ partir du rapport E/D, lequel 
vaut Q'3^ (mod n)/c'est-a-dire4'^ valeurs { (2» G!^^^^^ G'"' (mod 

«)}, sachant que (mod n) est la cle publique G ou son inverse modulo n. 
La solution fait appel a T identity de Bezout, Par definition, les coefficients 
de Bezout de v et de ^-t/ sont les deux en tiers k cl I v6rifiant les relations 
suivantes; Talgorithme de division d'Euclide permet de les calculer 
efficacement. 

0<k<e~d\ 0</<v; ky-Lie-d) = ±pgcd(e- fl?, v) 
Dans le cas present,' v est premier^et done pgcd^eW, v) = 1. Ce qui donne 
ridentit6 : 

C'est-k-dire, {Q^' f liQ^^"^ ^ Q^^ (mod n) 

* Lorsque G^Q^ (mod «) est utilis6e, G^ /{El D)^ {mod n) vaut 
Q (mod n) ou son inverse modulo n. 



* Lorsque G.g''=l (mod «) est utilisee, G^.{EiD)^ (jaodn) vaut 
Q (mod n) ou son inverse modulo n. 

3.2o Paire de cles seloioi Ea preseimte imveiiiitioini coinffeiraiiitt mm secnnirntie 
eqiuivaileinitte a la coiimaissaBce de la ffactoosatioB de m 
Note. Cette demonstration se rapporte a la version prec^dente, c*est-a-dire, 
k la version qui tient compte du symbole de Jacobi. En effet, pourvu que le 
nombre g soit un residu non quadratique pour un nombre impair de facteurs, 
en forgant le symbole de Legendre des al6as, on a toujours le meme 
symbole de Jacobi pour les r^ponses. 

Noteo La presente version fait fi du symbole de Jacobi ; le prix k payer est 
la perte d'un bit de defi par paire de cl6s selon la pr6sente invention. Le 
proc6d6 ne marche pas pour ^ = 1 ; le tricheur a une strategie gagnante 
totale. A partir de ^ ^ 2, le tricheur n'a plus qu'une strategie gagnante 
partielle : il peut anticiper deux defis mais pas trois. 

La connaissance de deux triplets « en tenaille » equivaut a connaitre une 
decomposition en deux facteurs du module public n. C'est la factorisation 
complete s*il y a deux facteurs premiers. S*il y a plus de deux facteurs 
premiers, il y a factorisation partielle, c'est-k-dire, deux facteurs non tous 
deux premiers : d'une part, un produit de facteurs premiers par rapport 
auquel le symbole de Jacobi de g vaut -1 et, d' autre part, le produit des 
autres facteurs premiers. 
DemoBsttratioinio 

D'une part, le temoin se configure a partir des facteurs premiers p^ 
du nombre public g et du facteur de securite k, Une fois configure, le temoin 
peut produire une tenaille : il lui suffit d*utiliser deux fois le meme jeu 
d'aleas. 

D' autre part, deux triplets en tenaille se traduisent par les Equations 
suivantes : 

R = G"^./)^* (mod «) et /? = .E^^ (mod n) 
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Lorsque k vaut 1, le d^fi d se limite h. un seul bit. 

Introduisons une paire de fonctions {G^; GJ defiSie sur les Elements de 
Tanneau des entiers (mod n) dont le symbole de Jaeobkpar^rappoit ^ n vaut 
+k 

Go(jc) = X- (mod n) et G^(jc) = Gjc' (mod n) 
Cette paire de fonctions generalise la paire introduite par Goldwasser, 
Micali et Rivest. La tenaille domie un nombre entier G.^-D^ divisible par 
n. Le nombre entier G,^-D^ est egal a g.E-D fois g.E-^D. Or le symbole de 
Jacobi de g.E par rapport a n est -1 et celui de D est +1 ; done, n ne divise 
ni g.E-D, ni g.E-hD. Par consequent, pgcd(w, g,E-D) et pgcd(n, g.E+D) sont 
deux facteurs non triviaux de n, 

Loi^qu^ew^^^estiipplsisiig^nd^lque^ 1 de k bits, 

represjentantiuninomfeKere^ poids fort 

CompQiS0nsMa^pa^eiiidew*fo1SfetiDns«^ notation en 

cons^quj&ne.em 

= G^o.(G^^(...G^*-^jc^..)^)^ (mod n) 
= G''.x^'' (mod w) = G^(jc) 
Les deux defis e et J sont deux sequences de k bits comportant trois parties : 
le meme suffixe commun, eventuellement vide, sur les bits de poids faible, 
un bit de divergence k 0 dans un defi et ^ 1 dans T autre defi, 
des prefixes quelconques, 6ventuellement vides, sur les bits de poids forts. 
Le bit^de^div^ergence doSne un nombre G3^—y^ qui-^est divisible par n. 
Aucun des^deux nombres gjc-y et gjc+y n'est^divisible-^par n puisque gjc et 
y ont*respectivement«irl et +1 comme* symbole «de#aG0bi*^par««rapport k n. 
Par consequent, pgcd(n, g^-y) et pgcd(w, gjc-hy) sont deux facteurs non 
triviaux de n. 



^^^^ ^^^^ 

93 



4o Seceiritte dui eonnveaB procede 

D'une maniere g6n6rale, la securite des protocoles « sans transfert de 
connaissance » s* analyse selon trois notions de base d^finies dans T article 
de base de Shafi Goldwasser, Silvio Micali et Charles Rackoff. 
Dans le cas qui nous interesse, une entite proclame : « — Void un module 
n, un exposant de verification v et une cle publique G; f utilise la 
factorisation de n et je connais la cle privee Q. » 

Par definition, lorsque I'entit^ connait les facteurs premiers, c'est un 
temoin. A chaque appel, le temoin produit de maniere privee un triplet que 
le controleur accepte. Par consequent, la procedure est complete . 
Par definition, lorsque Tentite ne connait pas les facteurs premiers, c'est un 
tricheur. A chaque appel, le tricheur a une chance sur v de deviner le defi d 
(si les V d^fis sont equiprobables) ; il peut done anticiper un defi, n'importe 
lequel, et ainsi tromper le controleur ; s*il pouvait anticiper un deuxifeme 
defi apres avoir produit T engagement, il coimaitrait une paire de triplets en 
tenaille, ce qui contredit la definition du tricheur. Par consequent, la 
procedure est robuste . 

Noteo La presente version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de cles selon la presente invention. Le 
procede ne marche pas pour ^ = 1 ; le tricheur a une strategie gagnante 
totale. A partir de A: = 2, le tricheur n'a plus qu' une strategie gagnante 
partielle : il peut anticiper deux d6fis mais pas trois. 

Quelle que soit la maniere dont se comporte le monde exterieur, il re9oit 
seulement T information que le temoin connait les facteurs premiers. Plus 
precisement, quelle que soit T information emise par le ^temoin, n'importe 
qui aurait pu la constituer sans interaction avec le temoin ; n'importe qui 
peut simuler les transmissions et produire un enregistrement qui reproduit 
les caract^ristiques statistiques des informations recueillies lors d'une 
interaction avec le temoin. Durant Tinteraction, un observateur ne peut pas 
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distinguer un honnete temoin d*un faux t^moin utilisant une liste de defis 
convenu%^a[ ravantej^Api-^s"iFinferaGti^^^ les 
deu^etwtypes-; d'etiregistrements. Emm^et^ onss^me peufe^pas> j.dis#n^^ 
enregi3trement de-triplets produits de maniere publique,.et un enregistrement 
de triplets produits de maniere priv6e. Par consequent, la procedure utilisee 
par le te moin ne laisse filtrer aucune information sur la valeur des facteurs 
premiers . 

L'entite qui prouve pilote toujours le meme t6moin fonctionnant toujours de 
la meme maniere : le tdmoin utilise les facteurs premiers et la cl6 priv^e Q 
sans les reveler ; le temoin assure la protection des facteurs premiers et de la 
cl6 priv6e Q. Le controleur v^rifie la cl6 priv6e Q sans en prendre 
connaissaneei^^Ld ^proceduftet^se d^EOule^^^^ sansi^tFansf eit^deieonnaissance » . 
Certaines«ipaiFesmdemcl#ll^ que la 

connaiss^c^idellat (^lilpi|w^^^ factorisation 
du m0du1ein^«A^Vlse«le*n0mveauipr@^5^^^^^^ priv6e Q ne 

s'usentipas«»meineiLquandfSrnisi^^ 
5. PeifcfFmances^^diiinouvveauvpi^^ 

Dans cette evaluation, on fait Thypothese que la valeur de G est petite, par 
exemple, G = 4. La charge de travail du temoin et la charge de travail du 
controleur dependent du niveau de security recherche, c'est-a-dire du 
produit de deux nombres : le nombre 7 de triplets produits a chaque appel au 
temoin et la valeur donnee au parametre de securite k moins un (en effet, on 
perd un bit de defi en laissant tomber le symbole de Jacobi). 
Poui- une^authentification^aveey.C/:-^^^^^ 1-6'^veej = 1, 

le temoinrdoit'^effectuer 17 carr^s pour icalculer 4 'engagement /?, puis, en 

moyenne«*^16 carr^s et 8 multiplieati0ns<«iplusv^«une*- multiplication pour 

calculer la repQii^ Z), soit 41 operations (mod n) ; 

cette charge est divis^e par deux avec deux facteurs premiers, soit 20 

operations (mod n) ; 



cette charge est divisee par trois avec trois facteurs premiers, soil 
environ 14 operations (mod n) ; 

et ainsi de suite, 
le controleur doit effectuer 17 carres (mod n). 
^ Pour une signature avec /(A:-!) = 80 avecj = 1, 

le temoin doit effectuer 81 carres pour calculer T engagement R, puis, en 
moyenne 80 carres et 40 multiplications plus une multiplication pour 
calculer la reponse D, soit 202 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 100 
operations (mod n) ; 

cette charge est divisee par trois avec trois facteurs premiers, soit 67 
operations (mod n) ; 

et ainsi de suite. • 
le controleur doit effectuer 81 carr6s (mod n). 
Remarquaeo Pour une valeur donnee du niveau de securite j.k^ le choix j = 1 
ne change pratiquement pas la charge de travail du temoin, ni celle du 
controleur ; elle minimise toutefois le nombre de triplets produits, c'est-^- 
dire, la charge de transmission pour mener a bien T operation, que cette 
operation soit une authentification ou une signature. 

Utilisons plusieurs paires de cles selon la presente invention, toutes avec le 
meme exposant public de verification v. Cela fait apparaitre un niveau de 
securite j,{k-l),l ou / est le nombre de paires de cles selon la presente 
invention. Le fait d'utiliser plusieurs paires de cles selon la presente 
invention diminue la charge de travail du temoin, ainsi que la charge de 
travail du controleur. 

Dans le tableau ci-dessous, M represente une multiplication (mod n) et X un 
carre (mod n). Rappelons que sur le composant ST 16601 pour carte h, puce, 
avec une horloge normalis6e k 3,579545 MHz, le carre modulo pom- 512 
bits se fait en 150 ms et la multiplication modulo en 200 ms. 
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(it-1)./ = 16 


Z= 1 


1 = 2 


/ = 4 


Z = 8 


Z=16 


Engagement^ 


17 X 


9X 


5X 


3X 


2X 


R^ponse 


1M + 


1 M + 


1M'+ 4X<'+-- 


1 M + 


1 M + 




16 X + 


8X + 


8M 


2X + 


1 X + 




8M 


8X 




8M 


8M 


Total du 


33 X + 


17 X + 


9X + 


5X + 


3X + 


temoin 


9M 


9M 


9M 


9M 


9M 


Trois 


11 X + 


6X + 


3X + 


2X + 


1 X + 


faeteuFSs^ 


3M. 


3M-. 


3M 


3 M 


3M 


Verification 


17 X S 


9X ^ 




3X . 


2X 



Le compromis-^^pour / = 4 est tr^s-^attrayant parce quej compte tenu des restes 
chinois avec un module a trois facteurs premiers, le terminal et la carte ont a 
peu pres la meme^^charge^de trawWv .11 est preeonisd d' utiliser les cles 
publiques GA = 4,GB = 9, GC = 25, GD = 49. 



lo Proc6ci6 pour diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- r authenticity d'une entite et/ou 

- Torigine et rint6grit6 d'un message mm, 
ledit proced6 met en oeuvre trois entit6s : 

- une premiere entit6 appel6e t6moin dispose des facteurs premiers 
Pi9 P29 (Pi 9 (i ^tant sup€rieur ou egal a 2) d'un module public b tel 
que mi = Pj«P2*» Pa* » 

ledit temoin dispose aussi 

* des composantes QAj, QA^^ 000 (QA, 5 000), et QB^ QB29 000 (QBj , 
c .0), . , repr6sentant des cl6s priv6es QA5 QB, . . . 

* des cl6s publiques GA^ GB, ... ayant respectivement pour 
composantes GAj^-GAjj 00. (GAj, --o) et GB^ GBj, 000 (GBj^ 000) 

* des exposants publics de verification vx, vy, 000 

lesdites cles privees et cl6s publiques etant liees par des relations du type : 

GAoQA"^ EBod hh = 1 ona GA = QA"^ modi hh 
lesdits exposants publics de verification vx, vy, 000 ^tant utilises par le 
temoin pour calculer des engagements R en effectuant des operations du 
type : 

Rj = Tj"^ mod Pi 

ou F; est un entier, associe au nombre premier Pj, tel que 0 < Tj < p, , chaque 
iTj appartenant k une collection d'aleas {iri^ oo«}, 

le t6moin tire au hasard une ou plusieurs collections d'al6as de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements M que de collections d'aleas {iTi, Tj, ^3, . }, 

- une deuxieme entit6 pilote dudit temoin 

* appelee demonstrateur dans le cas de la preuve de T authenticity 
d'une entity ou de rauthenticit6 d'un message. 
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♦ appel6e signataire dans les cas de la preuve de I'origine et de 
I ' integiyte d'un mesMige^ 

- une troisieme entit6 appel6e contr61eur v6rifie rauthentification ou 
rorigine«eti'int6giit6-d'un message, 

ledit temoin ref oit de la deuxifeme entite ou du contrSleur un ou plusieurs 
d6fis d tel que 0 < d < vx - 1 et calcule a partir de ce d6fi une ou plusieurs 
reponses D en effectuant des op6rations du type : 

D, = r, . QA, . QB, mod p, 

oil r, est un al6a tel que 0 < r, < pj 

de sorte que le nombre d'op6rations arithm6tiques modulo p, k effectuer 
pour calculer chacune des rdponses Dj pour chacun des p., est r6duit par 
rapport-a ce qu'il serait si les operations 6taient effectu6es modulo n, 
ledit contrdleur recevdnt une ou plusieurs reponses D calcule k partir 
desdites-r^ponses' des^ engagements R' en effectuant des operations du 
type : 

R'=GA'^.GB«. ...D'^ modn 

ou du type : 

R' . GA GB •».... = D'^ mod n 

ledit controleur verifie que les triplets {R% d, D} sont coh^rents. 

2. Procede pour diminuer la charge de travail pendant une session 
destin6e k prouver k un contr61eur, 

- I'authenticite d'une entite et/ou 

- I'origine et Tintegrite d'un message m, 
ledit precede met en oeuvre trois entites : 

- une premiere entite appeiee temoin dispose des facteurs premiers 
Pi» P2> •■• (Pi »•••)(! etant superieur ou egal 2) d'un module public n tel 
que n = Pi.pj. Pa , 

ledit temoin dispose aussi 

* des composantes QA„ QAj, ... (QA, ,...), et QB„ QB^, ... (QB, , 
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ooo), . . representant des cles privees QA5 QB, . . . 

* des cles publiques GA^ GB, ... ayant respectivement pour 
composantes GAj, GAj, o«o (GAj, 000) et GBj, GB^, o.o (GBi, oc) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GAoQA^ mod irn = 1 ona GA = QA^ mod n 
ledit exposant public de verification v etant utilise par le temoin pour 
calculer des engagements R, 
o en effectuant des operations du type : 

Mj = JT'^ mod Pi 

ou Ti est un entier, tire au hasard, associ6 au nombre premier Pj, tel que ® < Fj 
< Pi , chaque appartenant a une collection d'aleas {Tj, Fj, 2-35 000}, 
° puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'al6as {Fj, Fj, F3, ... }, 
de sorte que le nombre d' operations arithmetiques modulo h effectuer 
pour calculer chacun des pour chacun des pj est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo n, 

- une deuxieme entite pilote dudit temoin, 

* appelee demonstrateur dans le cas de la preuve de I'authenticite 
d'une entity ou de Tauthenticite d'un message, 

* appelee signataire dans les cas de la preuve de Torigine et de 
rintegrit6 d'un message, 

- une troisieme entite appelee controleur verifie Tauthentification ou 
Torigine et Tintegrite d'un message, 

ledit temoin re9oit de la deuxieme entite ou du conU-oleur, des collections 
de d6fis d {dA, dB, .•.} tels que 0 < dA < v - 1, le nombre des collections de 
defis d etant egal au nombre d' engagements R, chaque collection {dA, dB^ 
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...} comprenant un nombre de d6fis 6gal au nombre de paires de cles, 

ledit t^moin calcule k partir de chacune desdites collections de d6fis {dA, 

dB, ...} des r6ponses D 

• en effectuant des operations du type : 

D, = r,. QA, . QB, mod Pi 

• puis en appliquant la m6thode des restes chinois, 

de telle sorte qu'il y a autant de r^ponses D que d'engagements R et de 
d6fis d, 

de sorte que le nombre d'operations arithm6tiques modulo ft k effectuer 
pour calculer chacun des D, pour chacun des pj est r6duit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo n 
ledit controleur recevant une reponse D calcule k partir de cette r^ponse un 
engagement R* en effectuant des operations du type : 

R'=GA'^.GB'"....D'' modn 

ou du type :, 

R'. GA GB = D' mod n 

ledit controleur v6rifie que les triplets {R% d, D} sont coherents. 

3. Proced6 selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver k un contrSleur 
I'authenticite d'une entite ; 
ledit precede met en oeuvre trois entiles : 

1 - une premiere entite appelee t6moin dispose des facteurs premiers 
Pi> P2> (Pi »•••)(! etant superieur ou egal k 2) d'un module public n tel 

que n = Pj-Pj. Pj 

ledit t6moin dispose aussi 

* des composantes QA„ QA,, ... (QA, , ...), et QB^, QB,, ... (QB, , 
...),..., repr^sentant des cl6s priv6es QA, QB, . . . 

* des cMs publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA^, ... (GA,, ...) et GB„ GB^, ... (GB,, ...) 
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* d'un exposant public de verification v 
lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GAcQA"" mod e = 1 ob GA = QA^ mod im 

2 - une deuxieme entite pilote dudit temoin appelee demonstrateur 

3 - une troisieme entite appel6e controleur v6rifie rauthentification, 
pour prouver T authenticity d'une entite, ledit temoin, ledit demonstrateur 
et ledit controleur ex6cutent les etapes suivantes : 

o etape !• enngagemenilt R de ttemom : 

- k chaque appel, le temoin tire au hasard et en priv6 au moins une 
collection de nombres entiers {rj, c<»o},telle que, pour chaque facteur 
premier pj, chaque collection comporte un alea iTjpositif et plus petit que pj , 

- pour chaque facteur premier Pj , le t6moin elfeve chaque al6a T; a la 
puissance v ieme modulo Pj 

= mod Pj 

de sorte que le nombre d' operations arithmetiques modulo a effectuer 
pour calculer chacun des Mj pour chacun des Pj est reduit par rapport k ce 
qu'il serai t si les operations etaient effectuees modulo un, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 

° etape 2* delB d destine aB temoiB : 

- le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur, 

.- le controleur, apres avoir re9u tout ou partie de chaque engagement R9 
produit au moins une collection de defis d {dAj dB, •••} tels que (D) < dA < v 
" I9 le nombre des collections de defis d etant egal au nombre 
d'engagements R, chaque collection {dA, dB, ••.} comprenant un nombre 
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de d6fis 6gal au nombre de paires de cl6s, 

• etape 3. reponse^du temoin^auHdefi d.:^ 

- ledifftem©in«ealGule desfireponses D%pa^ de d6fis ;d 
{dAf^dB^ . . . } ref Res du contrdleur 

en effeetuant des operations du type*^ 

Dj = r, . Q A, ^ . QB J " . . . . mod ft 
de sorte que le nombre d'operations arithmetiques modulo p, k effectuer 
pour calculer chacun des D| pour chacun des p, est r6duit par rapport k ce 
qu'il serait si les operations 6taient effectu6es modulo n, 
puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D calcul6es par le temoin que 
d'engag^entsiRf|ttdefdMstd|^ 

• etap^4^doimee^ide^ti^^^ 

- le deMX5nstrateur*^transmet|^aufaontrdlf^ 

• etap<eir5%emfijDa^^^ 

ledit contFSltwr*GalGMei!2l f ai^^^ r» 
eff€@tuantiide'§iop^3tidhsf^^^ 

R'-GA^.GB"....D^ modn 

ou du type : 

R\ GA ^ • GB . . . . = mod n 

ledit controleur verifie que chaque engagement reconstruit R' reproduit 
tout ou partie de chaque engagement R transmis a l*6tape 2 par le 
demonstrateur. 

4. Procede selon la feveniEiieation 2 pour -diniiiiugr-fela ehapge de 
travail pendant une * session destin^e k prouver k un contrSleur 
r authenti©it6 d' unamessage^m,^ 
leditiproe^eamet<»^n\<^eut^ trois^eiitites^f 

1 - une premiere entite appel6e t6moin dispose des facteurs premiers 
Pi» P2» (Pi y •••) (i etant sup6rieur ou 6gal k 2) d'un module public n tel 
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que nn = Pi«P2» Pa* » 
ledit temoin dispose aussi 

* des composantes QA^, QA^, oo. (QAj ^ oo,), et QM^, QBj, ooc (QBj , 
o.,), . . representant des cles privees QA^ QB, . . . 

* des cles publiques GA^ GB, ... ayant respectivement pour 
composantes GA^^ GAj^ coo (GAj^ o.o) et GBi^ GBj, oo. (GBjj «oo) 

* d'un exposant public de verification v 
lesdites paires de cles priv6es et publiques etant liees par des relations du 



2 - une deuxifeme entity pilote dudit temoin appel6e d6monstrateur, 

3 - une troisifeme entit6 appelee controleur verifie Tauthentification, 
pour prouver Tauthenticite d'un message ledit temoin, ledit demonstrateur 
et ledit controleur ex6cutent les etapes suivantes : 

o ©tape lo emgagemeinilt M die temom : 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres entiers [r^^ 2-39 •••},telle que pour chaque facteur 
premier p^, chaque collection comporte un alea iTjpositif et plus petit que Pj , 

- pour chaque facteur premier pj , le temoin elfeve chaque al6a iTi a la 
puissance v ieme modulo p^ 



de sorte que le nombre d' operations arithmetiques modulo pj a effectuer 

pour calculer chacun des pour chacun des Pj est reduit par rapport k ce 

qu'il serait si les operations etaient effectuees modulo m, 

- puis, le temoin etablit chaque engagement R modulo n selon la m6thode 

des restes chinois, ^ 

de telle sorte qu*il y a autant d' engagements R que de collections d*al6as 

o etape 2, deiEi d desttine ao ttemoimi : 



type : 



GAoQA"" m<D)d hb = 1 ou GA = QA^'intiKEMil n 



R. = mod Pj 
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- le d^monstrateur applique une fonction de hachage f ayant comme 
arguments le message>.in et chaque engagement M p^^ un.jeton T, 

- le demonstrateur transmet le jetonrT au controleurv 

- leeontrdleurrapres avoir refu le jeton T, produit au moinsmne collection 
de d6fis d {dA% dB, ...} tels que 0 < dA < v - 1, le nombre des collections de 
d6fis d 6tant egal au nombre d'engagements R, chaque collection {dA, dB, 

comprenant un nombre de defis egal au nombre de paires de cles, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des r^ponses D h partir desdites collections de d6fis d 
{dA, dB, ...} re9ues du controleur 

en effectuant des operations du type : 

Dfs r, . QAi4'TQB}iff^....modig{s^ 

puisi«en*rappli^u;a^^^ 

de sorte^qugjfle^nombr^ejiid' operat^ ^ effectuer 

pour cal0uler^chaieunirdeS»©|^ouri*eh2^^^ ^ ce 

qu'il serai^side%opepMionsietaien^effiegtu6es moduloin, 
de ^telle%soi5te*qu|ia >au^^ que 
d' engagements R et de d^fis d, 

• etape 4. donnees destinees au controleur : 

- le demonstrateur transmet au controleur chaque reponse D, 

• etape 5. veriflcation par le controleur : 

ledit controleur calcule k partir de chaque reponse D un engagement R* en 
effectuant des operations du type : 

R's GA GB ^. ...D^ mod«i9i^ 

ou du type 1 

R^ GA ^ : GB^ : . . . = modm^ 

ledit-eontrOl^^'^appUqu^ fonction de hachage f ayant cornme arguments 
le message m et chaque engagement reconstruit R' pour reconstmire le 
jeton T% 




ledit controleur verifie que le jeton est identique au jeton T transmis a 
r^tape 2 par le demonstrateur. 

S. Precede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee a prouver a un controleur la signature 
ilumerique d'un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entity appel6e temoin dispose des facteurs premiers 
Pi9 P29 (Pi5 — ) (i etant superieur ou 6gal a 2) d'un module public un tel 
que M = P10P20 P30 000 , 

ledit temoin dispose aussi 

* des composantes QAj, QA^, -oo (QAj , ...X et QB^, QB2, .00 (QIBj , 
o«.), representant des cles privees QA^ QB, 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GAj, .0. (GAj, 0-0) et GIB^ GB^^ .00 (GBi, oo.) 

* d'un exposant public de verification v 
lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

G A-Q A^ mod un = 1 ou GA = Q A'' mod mi 

2 - une deuxieme entite pilote dudit temoin appelee signataire, 

3 - une troisieme entite appelee controleur verifie Tauthentification, 
pour prouver la signature d'un message ledit temoin, ledit demonstrateur 
et ledit controleur executent les 6tapes suivantes : 

etape 1. enngagemenBt R du ttemoiim i 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres en tiers [r^^ t^, oo.},telle que, pour chaque facteur 
premier pj, chaque collection comporte un alea r.positif et plus petit que pj , 

- pour chaque facteur premier pj , le temoin eleve chaque alea r, a la 
puissance v ieme modulo pj 

Mj = mod pj 
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de sorte que le nombre d' operations arithmetiques modulo Pj, a effectuer 
pour calculer chacun des pour chacun des pj est reduit par rapport h ce 
qu'il serait si les operations ^taient effeetuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n salon la mdthode 
des^restes chinois; 

de telle sorte qu'il y a autant d'engagements R que de collections d*al6as 

• etape 2. defi d destine au temoin : 

- le signataire applique une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour obtenir au moins une 
collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des 
collections de ddfis^d 6tant 6gal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de d^fis egal au nombre de 
paires de cles^ 

- le signataire transmet les collections de defis d au temoin, 

• etape 3. reponse du temoin au defi d : 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, ...} re?ues du controleur 

en effectuanf des operations du type : 

Dj = Ti . QAi . QB. . ... mod p^ 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d* operations arithmetiques modulo pj k effectuer 
pour calculer chacun des Dj pour chacun des pj est reduit par rapport k ce 
qu'il serait si les operations etaient effeGtuees^modulo^nv 
de telle sorte qu'il y a autant de reponses D calcul6es par- le temoin que 
d'engagements R et de defis d, 

" ledit ^temoin -transmet-les reponses D au signataire et/Qu.^u contrdleur, 

• etape 4. donnees destinees au controleur : 

- le signataire transmet un message sign6 au contrSleur comprenant : 
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/ le message nun, 

/ les collections de ci6fis d ou les engagements R, 
/ chaque r^ponse B 

° (Bitape S. vernfflcaltnoim par De comitrolfiimr ; 
cas oil le comltrSBeiuir re^oSlt Ha colecftiom des deifis d, 
dans le cas oil le contrSleur re9oit la collection des d6fis d et des r6ponses 
D, ledit controleur calcule k partir de chaque r^ponse B un engagement W 
en effectuant des operations du type : 

ou du type : 

E» . G A . GB *™ , . „ s B" mod im 
ledit controleur applique la fonction de hachage ff ayant comme arguments 
le message mm et chaque engagement reconstruit W pour reconstruire 
chaque d6fi d% 

ledit controleur verifie que chaque ddfi d' reconstruit est identique au d6fi 
d Hgurant dans le message sign6, 

cas oil De comttrSIIeiuir re^oilt Da colEectliolm des ejigagemaeimts R 
dans le cas oil le controleur re9oit la collection des engagements R et des 
reponses B, ledit contrdleur applique la fonction de hachage T ayant 
comme arguments le message mn et chaque engagement R pour reconstruire 
chaque defi d% 

ledit contrdleur reconstruit alors la collection des engagements R' en 
effectuant des operation du type 

R'= GA "'A. GB .B' modm 

ou du type : 

R' . GA . GB . , . . = B" mod m 
ledit controleur verifie que chaque engagement R' reconstruit est identique 
k I'engagement R figurant dans le message signe, 

6. Proc6d6 selon Tune quelconque des revendications 1 k 5 tel que 
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les composantes QAj, QAj, (QAj, ...), et QBj, QB^, ... (QB,, ...),..- des 
cles privies QA, QB, sont des nombres tires au hasard k raison d'une 
composante QAj , QB, , ... pour chacun desdits facteurs premiers 
lesdites cles privies QA, QB, pouvant etre calculees partir desdites 
composantes QAj, QAj, ... (QA^, .,.), et QB^, QBj, ... (QBil ...), ... par la 
methode des restes chinois, 
lesdites cl6s publiques GA, GB, ... etant calculee 

• en effectuant des operations du type : 

GAi = Q Aj^ mod pj 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA s QA^ mod n 

ou bien tel que 

GA.QA^ mod n = 1 

de sorte que le nombre d* operations arithmetiques modulo p, k effectuer 
pour calculer chacun des GA| pour chacun des pj est r6duit par rapport a 
ce qu'il serait si les operations etaient effectu^es modulo n. 

7. Procede selon la revendication 6 tel que I'exposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

8. Procede selon Tune quelconque des revendications 1 a 5 tel que 
I'exposant public de verification v est du type 

v = a** 

ou k est un parametre de securite. ^ 

9. Procede selon la revendication 8 tel que : 

- I'exposant public de verification v est du type ^ 

V = 2*' 

ou k est un parametre de securite, 

- la cie publique GA est un carre gA^ inferieur k n choisi de telle 
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sorte que Tequation 

= gA mod n 

n'a pas de racine en x dans Tanneau des entiers modulo n 

- lesdites composantes QA^, QAj, o.. (QAj , de la cle priv6e QA 
sont telles que : 

GA= QAj^P^^modpi 

ou bien telles que : 

G A 4J Ai ^-^""^^ mod 1 
on les obtient en extrayant la kieme racine carree de GA dans le corps de 
Galois CG(Pi) 

de sorte que le nombre d* operations arithmetiques modulo P| k effectuer 
pour calculer chacun des QAj pour chacun des P; est reduit par rapport k 
ce quMl serait si les operations etaient effectuees modulo im, 
de sorte que la paire de cles GA, QA conf6re une security equivalente k la 
connaissance de la factorisation de eh. 

Precede selon la revendication 9 tel que pour extraire la kieme 
racine carree de GA dans le corps de Galois CG(P|), 

* dans le cas ou le facteur premier Pj est congru £l 3 modulo 4, on 
applique notamment un algorithme du type : 

X = (p+l)/4 ; y = x^ mod (p-1) ; z = y ; QA^ = GA^ mod p^ 

* dans le cas oil le facteur premier p. est congru k 1 modulo 4, on 
utilise les suites de Lucas. 

Ho Systeme pour diminuer la charge de travail pendant une session 
destinee a prouver a un serveur controleur, 

- r authenticity d'une entit6 et/ou 

- Torigine et Tintegrite d'un message m, 
ledit procede met en oeuvre trois entites : 

- une premi&re entite, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
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bancaire a microprocesseur, 

le dispositif temoin ^-dispose d'une- prerm des 
facteurs premiers Pi, Pjr ... (p, , ...) (i etant sup6rieur .ou**6gaM 2) d'un 
module^public n tel que n = Pi.p2. Pa... . . , 

ledit dispositif t^moin... dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA^, QAj, ... (QA, , et QBj, QB^, ... (QB; , 
"J representant des cles priv6es QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GA^, ... (GAj, ...) et GB^, GB^, ... (GBj, ...) 

* des exposants publics de verification vx, vy, ... 

lesdites cl6s privees et cles publiques etant 4i6es par-des>relations du type : 

GA.QA"^ mod n s 1 ou GA s QA^ mod n 
ledit dispositif temoin comporte aussi des premiers moy ens de calcul pour 
calculer des engagejnents R en effrctuant des operations du type : 

Ri = Flamed Pi 
oh Tj est un alea tel que 0 < Tj < pj , , 

de sorte que le nombre d' operations arithmetiques modulo pj a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des Rj pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre egalement contenue notanunent dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de T authenticity 
d'une entit6 ou de T authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
rintegrity d'un message. 
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- une troisieme entite appelee dispositif controleur se pr6sentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
^ un reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, 61ectromagnetiquement, optiquement ou de 
manifere acoustique audit dispositif temoin, 

ledit dispositif contrdleur verifie Tauthentification ou Torigine et Tintegrite 
d'un message, 

ledit dispositif temoin refoit du dispositif pilote ou du dispositif contrSleur 
un ou plusieurs defis d tel que O < d < - 1 et comporte des deuxiemes 
moyens de calcul pour calculer k partir dudit d6fi d une ou plusieurs 
r6ponses D en effectuant des operations du type : 

ED| = o QA, o QBi ^ o oo. mod pj 
ou est un entier, associe au nombre premier pj, tel que 0 < Tj < pj , chaque 
Ti appartenant k une collection d'aleas {r^ r^j r^^ o.o}, 

le temoin tire au hasard une ou plusieurs collections d'al6as de telle sorte 
que, pour chaque exposant public de verification il y a autant 
d'engagements R que de collections d'aleas {r^, Tj, iTj, ... }, 
de sorte que le nombre d'operations arithmetiques modulo pj a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacune des reponses 
Bj pour chacun des P| est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo m, 

ledit dispositif controleur, recevant une ou plusieurs reponses comporte 
des troisiemes moyens de calcul pour calculer a partir desdites reponses D 
des engagements en effectuant des operations du type : 

R'=GA^oGB**®ooo.D^ mode 

ou du type : 

R\ GA ^. GB ... = D^ mod im 
ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
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verifier que les triplets {R', d, D) sont coherents. 

12..SystfeMeApom; diminuer la charge de travail pendant une session 
destinee prouver-^i unwcontFdleur, 

- Tauthenticite d*une entit6 et/ou 

- I'origine et Tintdgritfi^d'un message 
ledit precede met en oeuvre trois entites : 

- une premiere entite appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire k microprocesseur, 

ledit dispositif temoin dispose d'une premifere zone m6moire contenant des 
facteurs premiers pj, P2, ... (Pi , ...) (i etant superieur ou 6gal i 2) d'un 
module^^ublileln tekqujg»n:= , 

lediti disp:@sitif*teMoi deuxifeme^-zone memoiie 

contenant!^ 

* des|GQmp€!fsantes»Q3|8j^^ C(W9l...X et^B^B^, ... (QB,, 
...),..., repr^sentantrdes^el&^ri^^esiQil;, QB^., 

* ^des«*cl6s%publiques^G'a8pt^G^ . . ay antr respes^stivement pour 
composantes GA^, GAj, ... (GAj, ...) et GBj, GB^, ... (GBj, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA^ mod n = 1 ou GA = QA^mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des-engagements R, ^ 

• en effectuant des^ operations du type : 

R, = P2''inod«p^ 

oil rj est un^entier- tir^^au hasard, assoei6^a|i nornb^e^prenu P|, tel que 0 < 
< Pj , chaque Fj appartenant k une collection d'aleas {Fj, Fj, F3, ..•}, 

• puis en appliquant la methode des restes chinois. 




le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r^, Fj, t^, ... }, 
de sorte que le nombre d' operations arithm6tiques modulo P| a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des % pour 
chacun des Pj est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo b, 

- une deuxieme entite, appel6e dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif d6monstrateur dans le cas de la preuve de T authenticity 
d'une entity ou de Tauthenticite d*un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
1-integrity d'un message, 

- une troisieme entite, appelee dispositif controleur, se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif controleur verifie I'authentification ou I'origine et Tintegrite 
d'un message, 

ledit dispositif temoin regoit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, oo.} tels que 0 < dA < v - 1^ le nombre 
des collections de d6fis d etant egal au nombre d'engagements chaque 
collection {dAj dBj .00} comprenant un nombre de defis Sgal au nombre de 
paires de cles, 

ledit dispositif t6moin comporte des deuxifemes moyens de calcul pour 
calculer a partir de chacune desdites collections de d6fis {dA, dB, 00.} des 
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r6ponses D 

• en effectuant aes^op^MtiWns^^^ 

^ = Fj .^Q^i^^rQBf . . modipp V 

• puis en appliquant la methdde des restes chinoisf 

de telle sorte qu'il y a autant de reponses D que d' engagements R et de 
d6fis d, 

de sorte que le nombre d' operations arithmetiques modulo Pj a effectuer 
par lesdits deuxiemes moyens de calcul pour calculer chacun des D, pour 
chacun des pj est reduit par rapport a ce qu'il serait si les operations etaient 
effectu6es modulo n, 

ledit dispositif controleur, recevant une ou plusieurs reponses D, comporte 
desmtr0isiemes»moy^ens:^dei^cal©ulfep©ur«ealGuler«a pamir desdites reponses D 
umengag#ment#R^en^e^(^tuanC^^ 

ou^du^p^ 

RVGA.^;GB;^?l..=©^odin r 
ledi ttdiSpositifirelDnt^^^^ caleul pour 

verifier que les triplets {R% d, D} sont coherents, 

13. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver k un controleur 
Tauthenticite d'une entite ; 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue 
notajruiient^dans^un».objefe"nomad#^§e^p sous la forme 

d*une carte baneaire a miGroprocesseur, 

ledit-disposilafetemoin dispose**d'une»prenpue^^ zone .memoire contenant des 
facteurs prerniersjpi, p^; ... (p, , ...) (i 6tant supeij^eur ou .6gal k 2) d'un 
module public n tel que n = Pi.pj* Pa* , 

ledit dispositif temoin dispose aussi d'une deuxieme zone m^moire 



115 



contenant : 

* des composantes QAj, QA^, ooo (QAj ,0,0), et QBj, QM^^ .0. (QB, , 
• o.), . . representant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ay ant respectivement pour 
composantes GAj, GAj, .oo (GAj, o^o) et GB^j, GBj^ 000 (GBj^ 000) 

* un exposant public de verification v 
lesdites paires de cles privees et publiques etant li^es par des relations du 
type : 

GAoQA^ mod mi s 1 oun GA = QA^mod un 

2 - une deuxieme entite appelee dispositif d^monstrateur dudit 
dispositif t^moin, pouvant etre egalement contenue notamment dans ledit 
objet nomade, 

3 - une troisieme entity appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un 
reseau de conununication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver I'authenticite d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les 6tapes 
suivantes : 

° etape 1* eimgagemeinit R dSsposSttif ttemoSim s 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, k chaque appel, au moins une collection de nombres 
entiers {r^^ ^3, ..•},telle que pour chaque facteur premier p^, chaque 
collection comporte un alea rgpositif et plus petit que pj , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque al6a Tj a la puissance v ieme modulo pj , pour chaque facteur 
premier p^ , 
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R, = r,^ mod pj 

de sorte que le nombre d'op6rations arithm6tiques modulo Pj k effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des R, pour 
chacun des pj est r^duit par rapport h ce qu'il serait si les operations 6taient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif t6moin 
etablissent chaque engagement R modulo n selon la m6thode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif demonstrates comporte des moyens de transnwssion pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, 

- le dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re^u tout ou partie de chaque engagement R, au moins 
une collection de d6fis d {dA, dB, ...} tels que Q < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ./.} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D ,a partir desdites collections de defis d {dA, dB, ...} 
re9ues du dispositif controleur, 

en effectuant des operations du type : 

D, = r, . QA| . QBj ^ . ... mod pj 
puis en appliquant la m6thode des restes chinois, 

de sorte que le nombre d' operations arithm6tiques modulo ft k effectuer 
par les quatriemes moyens de calcul pour calculer chacun des pour 




chacun des pj est reduit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo m, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d*engagements IR et de d^fis d, 

° etape 4. domumees destniniees atm dlfsposiW ccDnntrSIeniiir t 
- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif contrSleur chaque r^ponse D, 

0 eltape 5c verMIcatSoim pair le dlnsposMlT comltirSIeeir t 

ledit dispositif contr61eur comporte des cinquiemes moyens de calcul pour 
calculer h partir de chaque r^ponse D un engagement W en effectuant des 
operations du type : 

on du type : 

ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit W reproduit tout 
ou partie de chaque engagement R transmis k Tetape 2 par le dispositif 
demonstrateur. 

Mo Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destin6e a prouver k un contrdleur 
Tauthenticite d'un message m, 
ledit procede met en oeuvre trois entites : 

1 - une premiere entite appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone m6moire contenant des 
facteurs premiers Pi, P29 (Pi 9 (i ^tant superieur ou 6gal k 2) d'un 
module public n tel que u = Pj^Pjo P30 ,00 , 

ledit dispositif temoin dispose aussi d'une deuxifeme zone m^moire 
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contenant 

* des.Gomposantes QA^, QA^,^.., (QA, , ...), et QB^. QB^^ ... (QB, , 
representant des cl6s priv6es Q AfQB, . . . 

* des- cl6s-publiques GA, GB, ... ayant respectivement pour 
composantes GAj, GA2, ... (GA,, •..) et GBj, GB^, ... (GBj, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant li^es par des relations du 
type : 

GA.QA^ mod n = 1 ou GA = QA^ mod n 

2 - une deuxifeme entite, appelee demonstrateur dudit dispositif 
t^moin, pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

3 - une troisieme entity appel6e dispositif contrSleur se presentant 
sous la forme d'lin terminal et/ou d'un serveur distant connect^ k un 
reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter v^ electriquement, electromagn6tiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver I'authenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en prive, k chaque appel, au moins une-colleetion de nombres 
entiers {r^, Tj, Fj, ...Ktelle que pour chaque facteur premier- ft, chaque 
collection comporte un alea r,positif et plus petit que P| 

- ledit dispositif temoin comporte des deuxifemes moyens de calcul pour 
Clever chaque alea Tj a la puissance v ieme modulo p^ , pour chaque facteur 
premier p; , 



Rj = ir^ mod pj 

de sorte que le nombre d' operations arithmetiques modulo pj k effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des Mj pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo im, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des testes 
chinois, 

de telle sorte qu*il y a autant d'engagements R que de collections d*al6as 
{ ir|5 iTjj iTjj o o o J, 

o eltape 2o deiH d desltiBe ami disposMff temoniia t 
' le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement M pour un jeton T, 

- ledit dispositif demonstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif contrSleur 

- ledit dispositif controleur comporte des troisifemes moyens de calcul pour 
calculer, apr&s avoir regu le jeton au moins une collection de defis d {dA, 
dB, o.o} tels que (D) < dA < v - 1^ le nombre des collections de defis d etant 
egal au nombre d'engagements chaque collection {dA, dB^ .o.} 
comprenant un nombre de defis egal au nombre de paires de cles, 

^ eitape 3. repomse dm dlsposMlT ttemom sm deE d t 

- ledit dispositif t6moin comporte des quatriemes moyens de calcul pour 
calculer des reponses a partir desdites collection de d6fis d {dA^ dB, 000} 
refues du dispositif controleur 

en effectuant des operations du type : 

= Fj - QA| • QBi ^ o ... mod pj 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer 
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par les quatri^mes moyens de calcul pour calculer chacun des Dj pour 
chacun des p, est reduit par rapport k ce qu'il serait si les operations etaient 
effectu&s modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D, 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur comporte des cinquifemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

Rfe GA ^ . GB^ . .. mod n 

ou du type : 

R' . GA ^. GB ^. ...=D^ mod n 

ledit dispositif controleur corhporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T\ 

ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T' est identique au jeton T transmis a 
r etape 2 par le dispositif demonstrateur. 

15. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destin^e k prouver h un controleur la signature 
numerique d'un message m, 
ledit proc6d6 met en oeuvre trois entites : 

1 - une premiere entit6, appel6e dispositif temoin, contenues 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire k microprocesseur, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 




facteurs premiers p^, p^, ... (p. , o..) (i etant superieur ou egal a 2) d'un 
module public n tel que im = p^p^c P3- ooo , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant : 

* des composantes QA,, QA^, 00. (QA, , et QM^, QM^, ... (QB, , 
000),..., representant des cles privees QA, QB, . . . 

* des cles publiques GA, GB, ... ay ant respecUvement pour 
composantes GA,, GA2, ... (GAj, et GBj, GB^, ... (GBj, 00.) 

* un exposant publique de verification v 

lesdites paires de cles privees et publiques etant lies par des relations du 
type : 

GAcQA"" modi im = 1 ou GA = QA^'mnKod mi 

2 - une deuxieme entity appelee dispositif de signature, pouvant etre 
egalement contenue notanunent dans ledit objet nomade, 

3 " une troisieme entite appelee dispositif controleur se presentant 
sous la forme d'un terminal et/ou d*un serveur distant connecte a un 
reseau de conununication infomiatique, 

ledit dispositif contrdleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
manifere acoustique audit dispositif temoin, 

pour prouver la signature d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur ex6cutent les 6tapes 
suivantes : 

° ©tape lo eHgagemeiiit R du temoim : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, a chaque appel, au moins une collection de nombres 
entiers {r^^ 2-3, ,o.},telle que pour chaque facteur premier p^, chaque 
collection comporte un alea Tipositif et plus petit que p. , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
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chaque al6a r, a la puissance v ifeme modulo pj, pour chaque facteur premier 
P.» 

de^sorte que le nombre d'op^ratdonsjraidthm^tiquesfwmoduleM^ effectuer 
par les deu?demes moyens de caleul pour calculer chacun des R, pour 
chacun des Pj est r^duit par rapport k ce qu'il serait si les operations 6taient 
effectu^es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif t^moin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d*engagements R que de collections d*aleas 

• etape«2.^defird destin^i^awd 

- leditl^di%ositif^elsignaturejPGompipte^^ de calcul 
pour caleMeisjifeen^appliqu^ ay ant comme 
argumentsile^messag%mtet chaque engagjgment R^^au moins une collection 
deade^M {a8?I^B3|P^.,)^6©ls«^ y ^ l/lemombrewdeiSi^Goll^ de 
defis d etant egal au nombre d' engagements R, chaque collection {dA, dB, 
...} comprenant un nombre de defis egal au nombre de paires de cles, 

- le dispositif de signature transmet les collections de defis d au 
t6moin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partk desdites 'GolleGtions^de^d^fis^d {d A, dB, •..} 
re9ues du dispositif controleur, 

en effeetuant«des^op6rationst du type^:* 

Dj = Tj . QAi^TQBi-^*? . . . mod pr^ 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer 
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par les quatriemes moyens de calcul pour calculer chacun des D, pour 
chacun des pj est r^duit par rapport k ce qu'il serait si les operations 6taient 
effectu6es modulo m, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d'engagements R et de defis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
controleur, 

° ©tape 4o doeinees destmees sm disposnttilT comitroleer i 

- le dispositif de signature transmet au dispositif controleur un message 
signe comprenant : 

/ le message 

I les collections de defis d ou les engagements 
/ chaque r^ponse B 

o etape So verMcattSonn par De disposittSf coimttrSleiuir i 
cas ms^ le dnsposittnlT comittroleiLnr re^onl la colleclioira des delFns d, 
dans le cas ou le dispositif controleur regoit les collections des defis d et 
des reponses ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer a partir de chaque reponse D un 
engagement en effectuant des operations du type : 

R' = GA'*^oGB^ooooD^ modna 

ou du type : 

R' o GA GB *^ . ....^W mod im 
ledit dispositif controleur comporte des sixifemes moyens de calcul pour 
calculer chaque defi d', en appliquant la fonction de hachage IT ay ant 
comme arguments le message m et chaque engagement rfeconstruit R% 
ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au defi d figurant dans 
le message sign6. 
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cas ou le dispositif contrdleur regoit la collection des engagements R 

dans lecas ou le dispositif controleur regoit la collecfroti des" engagement 
K^t *des«ep0nsesT%D^ledit«idispositi'fe . coniporte'^des cinquifemes 

moyensi^de calcul pour calculer chaque defrd^,-en^appliquant la fonetion de 
haehage*f ayant eomme arguments le message m et ehaque engagement R, 
ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer alors la collection des engagements R' en effectuant des 
operations du type 

R' = GA^'A.GB^*«..,.D^ modn 

ou du type : 

R' . GA GB ... = D^ mod n 

ledit-rtidisp^siti&eontFoleur^^compontew^ calcul pour 

compter et verifieliiqueiehaque enga^ est identique k 

1 ' engagejaent-vR figurantidaaasjilie ^m^ssag^ign|*«^ 

16?^j^teme«*seMhd'uliemquj|le^^ 11 ^ 15 tel 

que le§^Gompx>santes-QJ|^QA2, ... (Q%, y ...), et^J^^l^B^, ... (QBj , ...X 
... des*cles«pri<vees«Q%J|Q]|flKv. . sont»des«(n€>iMbijesiitir^sitau^hasard a raison 
d*une composante QAj, QBj, ... pour chacun desdits facteurs premiers r, 
lesdites cles privees QA, QB, pouvant etre calculees a partir desdites 
composantes QA^, QAj, ... (QAj, ...), et QB^, QB^, ... (QBj , ...), ... par la 
methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles pubUques GA, GB, 

• en effectuant des operations du type : 

GAj = QAj^ mod p. ^ 

• puis en appliquante^la methode des restes chinois^^pour^^tablir GA tel que 

GA Q^modttn«tiiii. 

ou bien tel que 

GA.QA^ modn^l 



de sorte que le nombre d* operations arithmetiques modulo p, k effectuer 
par les huitiemes moyens de calcul dudit dispositif t6moin pour calculer 
chacun des GA, pour chacun des pj est reduit par rapport k ce qu'il serait si 
les operations etaient effectuees modulo m, 

17o Systeme selon la revendication 16 tel que I'exposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente k la 
connaissance de la cle privee QA. 

18o Systeme selon Tune quelconque des revendications 11 k 15 tel 
que I'exposant public de verification v est du type 

v = a'' 

ou k est un param&tre de s6curit6. 

19o Systeme selon la revendication 18 tel que : 

- Texposant public de verification v est du type 

v = 2'^ 

ou Ik est un parametre de s6curit6, 

- la cle publique GA est un carre gA^ inferieur a irn choisi de telle 
sorte que T equation 

= gA mod nB 

n'a pas de racine en x dans I'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QAi<, QAj, o,. (QA, 500,) de la cl6 
privee QA en appliquant des formules telles que : 

GA= QAj ^^^^^ modi Pi 

ou bien telles que : 

GA oQAi ^•''^^mod PjS 1 
et en extrayant la kieme racine carr6e de GA dans le corps de Galois 
CG(Pi) 

de sorte que le nombre d' operations arithmetiques modulo pj k effectuer 
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par les neuviemes moyens de calcul du dispositif t6moin pour calculer 
chacun des QAj pour chacun des pj est reduit par rapport k ce qu'il serait si 
les^operations etaient effectu^es modulo n, 

de^sorte-que la paire-de cl6s GA, QA conf^re une seeurit^ 6quivalente a la 
connaissance de la factorisatiQn de n. 

20. Systeme selon la revendication 19 tel que pour extraire la kieme 
racine carree de GA dans le corps de Galois CG(Pi), 

* dans le cas ou le facteur premier pj est congru ^ 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

X = (p+l)/4 ; y = x*^ mod (p-1) ; z = y ; QA^ = GA^ mod r 

* dans le cas oil le facteur premier-*Pi est congru k 1 modulo 4, les 
neuviemes moyens de calcul du dispositif t6moin appliquent notamment un 
algorithme base sur4es suites de Lucas. 

21. Objet nomade, se presentant par exemple sous la forme d'une 
carte bancaire ^ microprocesseur, pour diminuer la charge de travail 
pendanttune session destinee^a prouver-k un serveur controleur, 

- r authenticity d'une entite et/ou 

- Torigine et Tintegrite d*un message m, 
ledit objet nomade faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers Pj, pj, ... (P| , ...) (i etant superieur^ou egal k 2) d'un 
module public n tel que n = Pi.p2. Pj.^ • . . , 

ledit dispositif t^moifi dispose- aussi d'une deuxifeme zone m^moiie 
contenant'^ 

* des composantes QAj, QA2, ... (QA, , ...), et QB^, QBj, ... (QB, , 
. . .), . . . , repr6sentant des cl6s privees QA, QB, ... 



* des c\6s publiques GA, GB, ... ayant respectivement pour 
composantes GA^^ GAj^ ooo (GAj, oc) et GB^j GBj, o.- (GBj, o.o) 

* des exposants publics de verification vx, vy^ ooo 

lesdites cles privies et cl6s publiques etant li6es par des relations du type : 

GAoQA"^ mod mi = 1 GA s QA"^ mod mi 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements M en effectuant des operations du type : 

Ej = JT^ imiKDd Pi 
ou Ti est un alea tel que (D) < iTj < pj 5 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des pour 
chacun des pj est r6duit par rapport k ce quMl serait si les operations 6taient 
effectu6es modulo mi, 

- une deuxifeme entity, appel6e dispositif pilote dudit dispositif 
temoin, pouvant etre 6galement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif d6monstrateur dans le cas de la preuve de Tauthenticite 
d*une entite ou de T authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de I'origine et de 
rint6grite d'un message, 

- une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d*un serveur distant connecte 
a un r6seau de communication informatique, 

ledit dispositif controleur verifie Tauthentification ou Torigine et rint6grite 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagn6tiquement, optiquement ou de manifere 
acoustique ledit dispositif t6moin et/ou ledit dispositif pilote audit dispositif 
contrSleur, 
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ledit dispositif t6moin refoit du dispositif pilote ou du dispositif controleur 
un ou plusieurs defi§ d tel que 0 < d < vx - 1 et comporte des deuxifemes 
moyens -de calcul^pour ealculer k partir dudit defi d iine -ou plusieurs 
reponses^D en eff€gtuant*des -operations du type : 

D, = Tj . QA|li^ . QB,^ . ... modpi 
ou Fj est un entier, associe au nombre prenfiier Pj, tel que 0 < < pj , chaque 
Fi appartenant k une collection d'al6as {Fj, Fj, F3, ...}, 

le t6moin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'al6as {Fj, Fj, F3, ... }, 
de sorte que le nombre d*op6rations arithmetiques modulo r k effectuer 
par lesdits-deuxieities moyens de calcul pour calculer chaeune des rgponses 
D| pour chacun. des Pi ^est reduit par rapport ^ ce qu'il serait si les 
operations 6taient eff€gtuees modulo n, 

ledit objet nomade^omporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D. 

22. Objet nomade^ se^pr6sentant ^par exemple sous la forme d'une 
carte bancaire k microprocesseur, pour diminuer la charge de travail 
pendant une session destinee a prouver a un controleur, 

- I'authenticite d'une entite et/ou 

- Torigine et Tintegrite d'un message m, 
ledit objet nomade faisant intervenir trois entites: 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d*une premiere zone memoire contenant des 
facteurs premiers Pi, pj, ... (p, , ...) (i 6tant superieur^u ^gal k 2) d'un 
module public-n tekque*n = Pj.pj.pj...^.. , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 




* des composantes QA^ QA^, ... (QA| , ...X et QB^, QB^, ooo (QBj , 
0,0),..., representant des cles privees QA^ QB, , . . 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA^, GA^, 00. (GAj, 00.) et GBj, GB^, 000 (GB,, 0,0) 

* un exposant public de verification v 

lesdites paires de cles priv6es et publiques etant liees par des relations du 
type : 

GA«Q A"" mod im = 1 omi GA = QA"" mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements 
o en effectuant des op6rations du type : 

IRj = Ti mod Pi 

oil Tj est un entier, tire au hasard, associe au nombre premier pj, tel que 0 < iTj 
< Pi , chaque Tj appartenant k une collection d'al6as {r^^ oo,}, 
o puis en appliquant la methode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {Fj, Tj, 2-3, ... }, 
de sorte que le nombre d' operations arithmetiques modulo Pj k effectuer 
par lesdits premiers moyens de calcul pour calculer chacun des R| pour 
chacun des Pj est reduit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo im, 

- une deuxieme entit6, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de Tauthenticite 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans le cas de la preuve de I'origine et de 
rintegrite d'un message, 

- une troisieme entit6, appel6e dispositif controletur, se presentant 
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notamment sous la forme d'un terminal et/ou d'un serveur distant connect6 
k un r6seau de coinmunicaiion infornaatique, 

ledit dispositif controleur verifie rauthentification ou*='l'origi.ne;^et r integrity 
d'un*^messagey 

ledit^objet-nomade compoite des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de mani^re 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
controleur, 

ledit dispositif temoin regoit du dispositif pilote ou du dispositif controleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d 6tant egal au nombre d' engagements R, chaque 
collection {dA,^dB; .,..} comprenant^un nombre ded6fis;^6gatau nombre de 
pairestde-eles,^. 

ledit dispositif t6m0in?^comportewides>t^deuxiemes moyens de calcul pour 
calculeF a partir de 'ehaGune desdites-coUections de^defig"-{dA, dB, ..•} des 
reponses D ' 

• en effefctuant des?^0perations^du*type 

Di = Fi . QAj ^ • QB, ^ . . . • mod r 

• puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d'engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo pj k effectuer 
par lesdits deuxifemes moyens de calcul pour calculer chacun des D, pour 
chacun des Pj est reduit*par rapport a ce qu-^il serait*si les-'opeFations 6taient 
effectu6es modulo n, 

ledit objet nomade comporte des moyens de transmission- pour transmettre 
audit dispositif^eontroleur-la ou lesditf s^rNgponses-D. 

23. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destin6e k prouver k un dispositif controleur 
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I'authenticite d'une entite ; 

ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif t6moin comporte une prendere zone memoire contenant des 
facteurs premiers •oo (pj j o-.) (i etant sup6rieur ou egal k 2) d'un 

module public ini tel que im = p^Pjo P30 .o* , 

ledit dispositif temoin comporte aussi une deuxieme zone m6moire 
contenant : 

* des composantes QA^, QA^, 000 (QAj ,000), et QB^^ QB^, 000 (QBj , 
0.0), representant des cl6s privees QA, QB, ... 

* des cles publiques GA^ GB, ayant respectivement pour 
composantes GAj, GA29 o.c (GA|, et GBj, GBj, 000 (GBj, oo.) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GAoQA^ mod un = 1 oe GA = QA^mod un 

2 - une deuxieme entity, appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connect^ 
a un reseau de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver I'authenticite d'une entity, ledit objet nomade execute les 
etapes suivantes : 
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• etape 1. engagement R du dispositif temoin : 

- le dispositif t6moin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, k chaque appel, au moins une collection de nombres 
entiers [r^y Fj, Fj, ...},telle que pour chaque facteur premier ft, chaque 
collection comporte un al6a Fipositif et plus petit que p, , 

- le dispositif t6moin comporte des deuxiemes moyens de calcul pour 61ever 
chaque alea r, k la puissance v i&me modulo pj , pour chaque facteur 
premier pj , 

Ri = ri"" mod p, 

de sorte que le nombre d'op6rations arithm6tiques modulo p, k effectuer 
par les deuxifemes moyens de calcul pour calculer chacun des R, pour 
chacun des pj est reduit par rapport it ce qu*il serait si les operations ^taient 
effectu6es modulo^n,- 

- puis, lesdits deuxi&mes moyens de calcul dudit dispositif t6moin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d*aleas 

• etape 2. transmission des engagements R et reception des defis d 
destines au dispositif temoin : 

- ledit objet riomade comporte des moyens de transmission pour transmettre 
au dispositif controleur tout ou partie de chaque engagement R, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de d6fis d {dA, dB, ...} produits par ledit dispositif contrSleur, 

• etape 3. reponse du dispositif temoin aux defis d : 

- ledit dispositif temoin comporte des troisifemes moyens de calcul pour 
calculer des reponses D , k partir desdites collections de d6fis d {dA, dB, 
...} re9ues du dispositif controleur, 

en effectuant des operations du type : 
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Bi = Ti o QAi *^ o QBj ^ « o o o modi p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo pj k effectuer 
par les troisiemes moyens de calcul pour calculer chacun des Dj pour 
chacun des pj est reduit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo im, 

de telle sorte qu'il y a autant de rSponses D calculees par le temoin que 
d'engagements M et de defis d, 

° ettape 4o doMiniees destiimees aun disposStSlT coinittrSleiuir : 
- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse P, 

0 eltape S. vernffncattioini par le dSsposnftilT coBttroIeimir % 

ledit dispositif contr61eur verifie la coherence des triplets {E, D} et 
Tauthenticite de Tentit^ controlee. 

24o Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un controleur 
Tauthenticit^ d'un message m, 
ledit objet nomade faisant intervenir trois entites : . 

1 - une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers pj, P25 .0. (pj o,o) (i etant sup6rieur pu egal k 2) d'un 
module public n tel que m = Pjopj- Pa* , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant 

* des composantes QAj^ QA^, (QA| , et OBj, QBj, -o. (QEj , 
000),..., representant des cles privees QA, QB, , . . 

* des cles publiques GA, GB, ... ay ant respectiveiiient pour 
composantes GAj, GA^^ .00 (GAj, o.O et GBj, GB25 ... (GB,, .0.) 
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* un exposant public de verification v 
lesdites paires-de clesiipri.v^es et publiqiuestitdlant«iwUees«parm^ du 
type-: 

GA.QA'' mod n = 1 ou GA«=»Qi^^mod*ii ^ 

2 - une deuxifeme entit6, appel^e d^monstrateur dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

3 - une troisieme entity appel6e dispositif controleur se presentant 
sous la forme d'un termini et/ou d'un serveur distant connecte h un 
r^seau de conmiunication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
61ectriquement, electromagn^tiquement, optiquement ou de manifere 
acoustique«ledit*disp0sitife^^ audit 
dispositif cfonta^SMuriiri. 

pour prouver. rauthenticit^-d'uh^iiin^ssase^^^^ les 
etapesr suiivantesi^ 

• etape 1 Jengagejnent^R^autdispa^^ 

- ledit dispositif^temointeomporte^des^preinieis^ pour tirer 
au hasard et en prive, k chaque appel, au moins une collection de nombres 
entiers {Tj, Tj, .•.},telle que, pour chaque facteur premier chaque 
collection comporte un alea positif et plus petit que p. , 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea Fj a la puissance v ieme modulo p; , pour chaque facteur 
premier pj , 

R, = mod<*pj w 

(de sorte que- le nombre d' operations arithm^tiques modulo -pp.^ effectuer 
par les deuxiemes moyens de calcul pour caleuler chacun des R, pour 
chacun des p, est r6duit par rapport k ce qu'il serait si les operations etaient 
effectu6es modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 




etablissent chaque engagement R modulo n selon la methode des testes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'al6as 

<^ eitape 2o receptnoim des delfis d desttimies aim disposMlT temnKEDms 

- le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage ff ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contrdleur le jeton T, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {dA^ dB, 0.0} produits par ledit dispositif contrfileur 
au moyen du jeton T, 

^ etope 3o repoDnse &u dnsposSMlF Hemoto sm delH d s 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des reponses a partir desdites collections de defis d {dA, dE, .00} 
revues du dispositif controleur 

en effectuant des operations du type : 

Di = r,,QAi*^oQBi^. o,, mod pj 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo pj k effectuer 
par les quatriemes moyens de calcul pour calculer chacun des Bj pour 
chacun des Pi est reduit par rapport h ce qu'il serait si les operations etaient 
effectu6es modulo nn, 

de telle sorte qu'il y a autant de reponses B calculees par le temoin que 
d' engagements E et de defis d, 

o ettape 4o domnees destimees ami disposnltiff coBttrSlenar i 

- Tobjet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur chaque reponse B 
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* etape 5. verification par le dispositif contrdleur : 

ledit> dispositif controleur verifie la eoherenee des triplets- {R, d, D) et 
rauthenticite du message m. 

25. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destin^e a prouver k un contrdleur la 
signature numerique d'un message m, 
ledit objet nomade faisant intervenir trois entit6s : 

1 - une premiere entit6, appel6e dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin comporte une premiere zone m^moire contenant des 
facteurs premiers Pi, pj, ... (pj , ...) (i etant sup6rieur ou 6gal k 2) d'un 
module public n tel que n = Pj.pj. Pa^i ... , 

ledit dispositif temoin comporte aussi une deuxieme zone raemoire 
contenant : 

* des composantes QA^, QA^, ... (QA^ , ...), et QBi, QB^, ... (QBj , 
...),..., repr6sentant des cl6s privees QA, QB, , . . 

* des cles publiques GA, GB, ... ay ant respeetivement pour 
composantes GA|, GA^, ... (GA;, ...) et GB^, GB^, ... (GBj, ...) 

* un exposant public de verification v 
lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA^ mod n = 1 ou GA s QA^mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue dans -ledit objet nomadet^ 

3 - une troisieme entity appelee dispositif controleur se presentant 
sous la forme d'un terininal et/ou d'un serveur distant connecte k un 
reseau de conununication informatique, 

ledit objet nomade comporte des moyens de connexion poiu: connecter 
61ectriquement, 61ectromagn6tiquement, optiquement ou de maniere 
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acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif contrdleur, 

pour prouver la signature d'un message ledit objet nomade execute las 
etapes suivantes : 

etepe lo eimgageimiieinilt R dun dnsposstnff tem<D)nim t 
-le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, k chaque appel, au moins une collection de nombres 
entiers [r^^ r^, ooo},telle que pour chaque facteur premier pv,, chaque 
collection comporte un al6a iTipositif et plus petit que pj , 

- le dispositif temoin comporte des deuxifemes moyens de calcul pour elever 
chaque al6a a la puissance v ihmc modulo p^ , pour chaque facteur 
premier p^ , 

IRi = iTj^ modi Pi 

de sorte que le nombre d' operations arithm6tiques modulo p., a effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des IRj pour 
chacun des pj est reduit par rapport a ce qu'il serait si les op6rations etaient 
effectuees modulo im, 

- puis, lesdits deuxifemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement E modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

o ettape 2. deiFn d desltme aim dnsposMf ttemom t 

- ledit dispositif de signature comporte des troisiemes moyens de calcul 
pour calculer, en appliquant une fonction de hachage ff ayant comme 
arguments le message m et chaque engagement E, au moins une collection 
de d6fis d {dA^ dB, ooj tels que 0 < dA < v - 1^ le nombre des collections de 
d6fis d 6tant 6gal au nombre d'engagements chaque collection {dA^ dB, 
•oo} comprenant un nombre de defis 6gal au nombre de paires de cl6s. 
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- le dispositif de signature transmet les collections de d^fis d au t6moin 

• etape 3, reponse du dispositif t^moin au defi d : 

- ledit dispositif temoin comporte- des quatriemes moyens»de calcul pour 
calculer des reponses D, k partir desdites coUections-de deffiS^d {dA;*dB, ..•} 
regues du dispositif controleur, 

en effectuant des operations du type : 

Dj = r..QAi*^.QBj'®. •..modpj 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo pj k effectuer 
par les quatriemes moyens de calcul pour calculer chacun des pour 
chacun des pj est reduit par rapport k ce qu'il serai t si les operations 6taient 
effectu6es modulo^n, 

de telle sorte qu'il y a aiitant de reponses D calcul&s par le t6moin que 
d'engagements R et de^d6fis d, 

- Tobjet nomade comporte des moyens de transmission pour transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur, 

• etape 4. ddnn^es destinees au dispositif controleur : 

- I'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message sign6 comprenant : 

/le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 

ledit dispositif controleur verifie la eohdrence des Iriplets^lR, d, D} et la 
signature numdrique du message m. 

26. Objet nomade selon Tune quelconque des re\endications 21 k 
25 tel que les composantes QA^, QA^j ... (QA, , et QBj, QB^, ... (QB^ , 
...), ... des cl6s privees QA, QB, ... sont des nombres tires au hasard k 
raison d'une composante QAj , QB^ , ... pour chacun desdits facteurs 
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premiers ift, lesdites cles privees QA, QB, pouvant etre calcul6es k partir 
desdites composantes QA^ QA^, .00 (QA^ , 0.0), et QM^, QB^, 000 (QB, , .0.), 
par la methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cl6s publiques GA, GB^ 
<^ en effectuant des operations du type : 

GAi= QAj'^modlpi 
° puis en appliquant la methode des restes chinois pour 6tablir GA tel que 

GA = QA''m<Ddini 

ou bien tel que 

GAoQA'' mod im = 1 
de sorte que le nombre d' operations arithmetiques modulo k effectuer 
par les huiti&mes moyens de calcul dudit dispositif tdmoin pour calculer 
chacun des GA, pour chacun des pj est reduit par rapport k ce qu'il serait si 
les operations ^taient effectu6es modulo mi, 

27 o Objet nomade selon la revendication 26 tel que Texposant 
public de verification v est un nombre premier, 

de sorte que lapaire de cles GA, QA confere une securite equivalente k la 
connaissance de la cle privee QA. 

28« Objet nomade selon Tune quelconque des revendications 21 k 
25 tel que Texposant public de verification v est du type 

oil k est un parametre de security. 

29o Objet nomade selon la revendication 28 tel que : 

- Texposant public de verification v est du type 

v = 2^ 

ou k est un parametre de securite, 

- la cle publique GA est un carre gA^ inf^rieur k n choisi de telle 
sorte que Tequation 
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^ gA mod n 

n'a pas de racine en x dans rarmeauvdes entiers modulo n 

- ledit dispositif^temoin comportant des neuvi^mes moyens de ealcul 
pour calculer lesdites composantes QAj, QAj, (QAj% •..) de la cle 
priv6e QA en appliquant des fonnules telles que : 

GA= QAi^*>modpi 

ou bien telles que : 

GA .QAj ^^""^^ mod 1 
et en extrayant la kifeme racine carr6e de GA dans le corps de Galois 
CG(ft), 

de sorte que le nombre d' operations arithmetiques modulo P| k effectuer 
par les neuvi&mes moyens de-caleul du^ dispositif t6moin pour calculer 
chacun des QA, pour chaeun des^p, est r^duit par rapport k ce qu'il serait si 
les operations etaient;effeetu6es: modulo n, 

de sorte que la paire?de cles GA, QA confere une security ^quivalente a la 
connaissance de la factorisation de n.^ 

30. Objet nomade selon la revendication 29 tel que pour extraire la 
kieme racine carree de GA dans le corps de Galois CG(Pi), 

* dans le cas oii le facteur premier p, est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notanunent un 
algorithme du type : 

X = (p+l)/4 ; y s x*^ mod (p-1) ; z = y ; QA^ = GA^ mod p^ 

* dans le cas ou le facteur premier p, est congru a 1 modulo 4, les 
neuviemes moyens de caleul du dispositif temoin appliquent- notamment un 
algorithme bas6 sur les suites de Lucas. 

31. Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destin6e verifier : 

- Tauthenticite d'une entit6 et/ou 

- Torigine et Tintegrite d'un message m. 




ledit dispositif de controle se presentant sous la forme d'un terminal ou 
d'un serveur distant connect6 a un reseau de communication informatique, 
ledit dispositif de controle mettant en oeuvre : 

- un module public n tel que nn soit le produit de facteurs premiers 
secrets Pj, ooo (pj ^ o«o) (i etant superieur ou egal a 2) 

- des cl6s publiques GA, GE, ... 

- des exposants publics de verification vs, vy, o,, 

lesdites cles privees GA et les cl6s publiques associees QA etant liees par 
des relations du type : 

GAoQA"^ modi im = 1 oui GA = QA"^ mod un 
ledit dispositif de controle faisant intervenir trois entites : 

- une premiere entit6, appelee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements 

- une deuxieme entite appel6e dispositif pilote dudit dispositif 
temoin pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant 
dudit dispositif temoin et/ou dudit dispositif pilote. 
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ledit dispositif contrSleur comporte : 

- des premiers moyens de ealcul pour produire un ou plusieurs defis 
d tel' que«0>^ d ^ v»^- 1, 

- des deu^iemes moyens de calcul pour calGulerti*:enj*^fonction des 
reponses-^D f e^ues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements R' en effectuant des operations du type : 

R'l^GA^D^ modn 

ou du type : 

R'j.GA^=D^"modn 

- des troisi&mes moyens de calcul pour verifier que les triplets {R% d, 
D} sont coh6rents 

32IIDispositif"de contrdle permettanfride diminuer^^la charge de travail 
pendant<«iune sessiontdestin^e^a v6ri<fi€i>f:. 

- rSuthfhticitfii^d'fi^^^ 

- Fe^ig4ne«€t4^im€grit6^d'un message*m, 

ledit dispositif de contrSle **se pr^sentant^sous la formcsitd'un temiinal ou 
d ' un^serveur distant^reonneetd a umrSseaue^de^coiTMiunieationnnfomiatique, 
ledit dispositif de controle mettant en oeuvre : 

- un module public n tel que n soit le produit de facteurs premiers 
secrets Pj, Pj, ... (Pi , ...) (i ^tant sup6rieur ou 6gal k 2) 

n = Pi.p2. Pj. ... , 

- des cles publiques GA, GB, ... 

- un exposant public de verification v 

lesdites cl6s priv6es GA et les cl6s publiques associees QA^^tant liees par 
des relations du type : 

GA-QA"" mod n = 1 ou GA = QA"" mod n . 
ledit dispositif^de*eontr0le>faisant#intew.e 

- une premiere entit6, appel6e dispositif temoin, contenue notamment 
dans un objet nomade se pr6sentant par exemple sous la forme d'une carte 
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bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre contenue notamment dans ledit objet nomade, 

- une troisieme entite, appelee dispositif controleur, contenue dans 
ledit dispositif de contrSle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn^es produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant 
dudit dispositif temoin et/ou dudit dispositif pilote, 

ledit dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d {dA, dB, ..o} tels que 0 < dA < v - 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D refues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 



- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
B} spnt coherents. ^ 

33. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier 
r authenticity d'une entite ; 



M'=GA^.GB 



D"" mod mi 



ou du type : 
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dans le cas d'une authentification d'entite, le dispositif pilote est appel6 
dispositif demonstrateur, 

pour prouver Tauthenticite d'une entite ledit dispositif de contr61e execute 
les Stapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin produit au moins un engagement R ^ partir d'au moins 
une collection d'aleas {Fj, Tj, Fj, ...},telle que, pour chaque facteur premier 
Pj, chaque collection comporte un al6a Tj entier positif et plus petit que pj , 
de telle sorte quMl y a autant d'engagements R que de collections d'al6as , 

• ^tape 2. defis produits par le dispositif controleur et destine au 
dispositif temoin : 

- lesdits moy ens de. reception du dispositif de contrSle re^oivent tout ou 
partie de;.©haque engagement R, transmis par je dispositif d6monstrateur, et 
le transmet au dispositif^controleur^ 

- le dispositif controleur comporte des premiers moyens de calcul pour 
caleuler, aprfes avoir re9u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dAi^ dBf I telst que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d'engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de cles, 

• etape 3. reponse du dispositif temoin aux defis d : 

- ledit dispositif temoin comporte des quatri&mes moyens de calcul pour 
calculer des r6ponses D , a partir desdites collections de defis d {dA, dB, 
...} re9ues du dispositif controleur, de telle sorte qu'il y a autant de 
reponses D que d'engagements R et de defis d, 

• €tape 4. donnees destinees-^au dispositif controleur : 

- les moyens de reception du dispositif de controle re9oivent du dispositif 
demonstrateur chaque r6ponse D, 

• etape 5. verification par le dispositif controleur : 




ledit dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer k partir de chaque r^ponse D un engagement W en effectuant des 
operations du type : 

M'=GA**^oGB*®ooooB'^ mode 

on du type : 

ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit reproduit tout 
ou partie de chaque engagement R transmis k T^tape 2 par le dispositif 
demonstrateur 

34. Dispositif de contrSle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee k verifier 
Tauthenticite d'un message m, 

dans le cas d-une-authentifieation d'un message hb, le dispositif pilote est 
appele dispositif demonstrateur, 

pour prouver I'authenticit^ d'un message m, ledit dispositif de controle 
execute les etapes suivantes : 

Q eltape 1. einigagemeinilt R du dnsposMff ttemoBim s 

- le dispositif temoin produit au moins un engagement R h partir d'au moins 
une collection d'aleas {Fj, r^^ .••}, telle que, pour chaque facteur premier 
Pi, chaque collection comporte un alea entier positif et plus petit que pj , 
de telle sorte qu'il y a autant d' engagements R que de collections d'aleas , 

o eftape 2. defis d prodoitts pair kdntt dispositif cosiiroleuir ett 
destiBes sm disposntilT ttemoiim t 

- lesdits moyens de reception du dispositif de controle refoivent au moins 
un jeton T calcule et transmis par le dispositif demonstrateur en appliquant 
une fonction de hachage ff ayant conune arguments le message m et chaque 
engagement R, 

- ledit dispositif controleur comporte des premiers moyens de calcul pour 
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calculer, apres avoir re9u le jeton T, au moins une collection de defis d {dA, 
dB, ...} tels qudll ^ dA < v - 1, le horiifere des collections de d6fis d etant 
6gal au nombrevd'engagements R, chaque colleeii0n**.{dAy .dB, •..} 
comprenant un nombpe^de^^defis 6gal^au nombre de^paires'^deicMsv^ 

• etape 3. reponse^^du dispositif temQin 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
refues du dispositif controleur, de telle sorte qu'il y a autant de r6ponses D 
calculees par le temoin que d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- les moyens de reception du dispositif de controle refoivent du dispositif 
d^moilstrateun^chaque ueponse D, 

• ^tape 5. verification par le dispositi^icontrdleuF : 

ledit dispositif conteol^ur comporte^^desi&deuxi&mes moyens de calcul pour 
calculer a partir de chaque r^ponse-D un engagement R'^en-^effectuant des 
operations du type^? 

R' = GA^-GBi^ f:..jy mod n 

ou du type : 

R' . GA . GB ^ . . . . = mod n 

ledit dispositif controleur comporte des troisifemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T% 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
comparer et verifier que le jeton T* est identique au jeton-T transmis^ k 
Tetape 2 par le dispositif demonstrateur. 

35. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une ^session destinee-^ verifier la 
signature numerique d*un message m, 

dans le cas d'une authentification d'un message m, le dispositif pilote est 
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appel6 dispositif de signature, 

pour prouver la signature numerique du niessage mm, ledit dispositif de 
controle execute les 6tapes suivantes : 

o etope lo emgagemeimlt M du ttemom t 

- le dispositif t^moin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {ir^ ^3? -ooKtelle que pour chaque facteur premier 
Pi, chaque collection comporte un al6a iTi entier positif et plus petit que pj , 
de telle sorte qu'il y a autant d'engagements R que de collections d'al6as , 

- ledit dispositif de signature calcule, en appliquant une fonction de 
hachage IF ayant comme arguments le message m et chaque engagement M, 
au moins une collection de d6fis dl {dlA, aSBj, 000} tels que ® < dlA < v = 1^ le 
nombre des collections de defis d 6tant ^gal au nombre d'engagements % 
chaque collection {dA, dE, 000} comprenant un nombre de defis egal au 
nombre de paires de cles, 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

o ettape 3o repoimse diui disposMlT ttemonim aim deiFS d i 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses Bj k partir desdites collections de defis d {dA^ dB, 
0.0}, de telle sorte qu'il y a autant de reponses B calculees par le temoin que 
d* engagements R et de defis d, 

- ledit dispositif t6moin comporte des moyens de transmission pour 
transmettre les reponses B au dispositif de signature et/ou au dispositif 
controleur, 

° ettape 4o domumees desttmees am dnsposittnff connltroleimr o 

- les moyens de reception du dispositif de contr61e regoivent du dispositif 
de signature un message signe comprenant : 

/ le message inn. 
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/ les collections de defis d ou les engagements R, 
/ chaqtfeiT^jpbnse i) 

• itSipejS, ver-ification par- le dispositif contKoleur : 

cas ou le dispQsitif^lgontFdleur regoit la collection des'defis1>d, v 

dansvle eas oil 'le dispQsitif controleur Te9oit les Gollefetion^gj^es d6fis d et 

des reponses D, 

ledit dispositif controleur comporte 

* des premiers moyens de calcul pour calculer k partir de chaque 
reponse D un engagement R* en effectuant des operations du type : 

R' = GA*^.GB'»....D' modn 

ou du type : 

R' : GA ^ GBlP = W ihod»n 

* des deuxiferties moyens de calcul pour calculer chaque defi d*, en 
appliquant la foiictionde hachaige f ay ant comme arguments- le message m 
et chaque engage^ment reconstruit R', 

* 'Qes'-troisi^mes moyens de calcul pour comparer et verifier que 
chaque defi d' €st»identique au defi d figurant dans le message-sign6, 

cas ou le dispositif controleur re9oit la collection des engagements R 
dans le cas oii le dispositif controleur refoit la collection des engagements 
R et des r6ponses D, 
ledit dispositif contrdleur comporte 

* des premiers moyens de calcul pour calculer chaque d6fi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement R, 

* des deuxiasmes moyens de calcul pour calculer- alors la collection 
des engagements R' en effectuant des operation du type-- 

R' s GA^** . GB^'. ...ir mod-m- 

ou du type : 

R». GA GB ... = D^ mod n 
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* des txoisifemes moyens de calcul pour comparer et verifier que 
chaque engagement reconstruit est identique 1' engagement R figurant 
dans le message signe. 

36o Dispositif de contrSle selon Tune quelconque des 
revendications 31 k 35 tel que les composantes QAj, QAj, o.o (QAj ^ ooo), et 
Q]Bi5 QB2, 000 (QBj 9000), des cles privees QA, QB, . . . sont des nombres tir6s 
au hasard a raison d'une composante QAj 9 QBj 5000 pour chacun desdits 
facteurs premiers pj, lesdites cKs privees QA, QB, pouvant etre calcul6es k 
partir desdites composantes QA^^ QA^^ 0.0 (QA, , 000), et (QBj, QBj? 00. (QB| 
J 000), . . . par la methode des restes chinois, 

ledit dispositif temoin comportant des moyens de calcul pour calculer 
lesdites cles publiques GA^ GB, o«o, 
o en effectuant des operations du type : 

GAj^ QAj'' modi Pj 
o puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA''inniodl mi 

ou bien tel que 

GAoQA'' mod 211 = 1 
de sorte que le nombre d' operations arithmetiques modulo P| k effectuer 
par les huitiemes moyens de calcul dudit dispositif temoin pour calculer 
chacun des GA; pour chacun des pj est reduit par rapport h ce qu*il serait si 
les operations etaient effectu6es modulo m, 

37« Dispositif de controle selon la revendication 36 tel que 
Texposant public de verification v est un nombre premier, 
de sorte que la paire de cles GA, QA confere une securite 6quivalente k la 
connaissance de la cl6 privee QA. 

38. Dispositif de controle selon Tune quelconque des 
revendications 31 ^ 35 tel que I'exposant public de verification v est du 
type 
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v = a* 

ou k est uri param^toe de security. 

39.^Dispositif de contrdle selonJa revendieation 38 tel que :.- 

- Texposant public de v6rifi©ation v est* du type- 

V = 2" 

oh k est un paramfetre de securite, 

- la cle publique GA est un carr6 gA* inferieur k n choisi de telle 
sorte que 1 'equation 

x^ = gA mod n 

n*a pas de racine en x dans I'anneau des entiers modulo n 

- leditdispositif t6moincomportant des neuviemes moyens de calcul 
pour-ealeuler les.dites composantes QA„ QAi, ... (QA, , ...) de la cl6 
priv6e QA en appliquant des formules telles que : 

GA= QA,^'P*^modpj 

ou bien telles que r 

GA.QA,2'»p(Wmodppl 
et en extrayant la kieme racine-carr6e de-GA dans le corps de Galois 
CG(p,) 

de sorte que le nombre d ' operations arithm6tiques modulo p, a effectuer 
par les neuviemes moyens de calcul du dispositif temoin pour calculer 
chacun des QAj pour chacun des pj est reduit par rapport a ce qu'il serait si 
les op6rations 6taient effectu6es modulo n, 

de sorte que la paire de cles GA, QA confere une securit6 equivalente k la 
connaissance de la factorisation de n. 

40. Dispositif de controle selon la revendicatiea 39 tel que pour 
extraire la ki^me racine carr^e de GA dans le corps de Gal©is*CG(pi), 

* dans le cas oH le facteur premier p, est congru k 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 




X = (p+l)/4 ; y = x'' mod (p-1) ; z = y ; QA^ = GA^ mod 
* dans le cas ou le facteur premier pj est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme bas6 sur les suites de Lucas. 



